Podatność w urządzeniach Azure-Access BLU-IC2 oraz BLU-IC4 polega na braku właściwej obsługi błędów HTTP 5xx (CWE-394). Oceniona jako krytyczna z maksymalnym wynikiem CVSS 10.0, może umożliwić atakującemu zdalne naruszenie poufności, integralności i dostępności systemu oraz połączonych z nim zasobów.
▸ Pokaż oryginał (EN)
Lack of Graceful Error Handling - HTTP 5xx ErrorThis issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5 .
Podatność wynika z nieprawidłowej lub całkowicie nieobecnej obsługi błędów po stronie serwera HTTP wbudowanego w firmware urządzeń BLU-IC2 i BLU-IC4. Zgodnie z CWE-394, brak graceful error handling oznacza, że aplikacja nie reaguje poprawnie na warunki błędów klasy 5xx, co może prowadzić do nieoczekiwanych stanów urządzenia lub ujawnienia wrażliwych informacji. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni podatność trywialną do wykorzystania zdalnie.
Atakujący bez żadnych uprawnień, działający zdalnie przez sieć, może naruszyć poufność, integralność i dostępność zarówno atakowanego urządzenia, jak i systemów z nim powiązanych, potencjalnie uzyskując pełną kontrolę nad infrastrukturą dostępu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu aktualizacji firmware zaleca się ograniczenie dostępu sieciowego do urządzeń BLU-IC2 i BLU-IC4 wyłącznie do zaufanych hostów oraz segmentację sieci.
Azure-Access BLU-IC2 z firmware w wersji do 1.19.5 włącznie oraz Azure-Access BLU-IC4 z firmware w wersji do 1.19.5 włącznie.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAzure Access Blu Ic2
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic2 Firmware
OSAzure-Access< 1.20Azure Access Blu Ic4
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic4 Firmware
OSAzure-Access< 1.20
Powiązane podatności
Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4
Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4
Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4
Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4
Systemiczne błędy wewnętrzne serwera (HTTP 500) w Azure-Access BLU-IC2 i BLU-IC4