CRITICAL✓ PATCH🇬🇧 English

CVE-2023-24049

Privilege escalation w routerze Connectize AC21000 G6 — słabe zarządzanie poświadczeniami

CVSS 9.8v3.1pub. 2023-12-04upd. 2025-05-29

Podatność w oprogramowaniu routera Connectize AC21000 G6 (wersja 641.139.1.1256) umożliwia atakującemu uzyskanie podwyższonych uprawnień na urządzeniu. Krytyczny poziom zagrożenia wynika z możliwości przejęcia pełnej kontroli nad urządzeniem bez konieczności uwierzytelnienia.

Pokaż oryginał (EN)

An issue was discovered on Connectize AC21000 G6 641.139.1.1256 allows attackers to gain escalated privileges on the device via poor credential management.

🤖 Analiza AI
Jak działa

Podatność wynika z niewłaściwego zarządzania poświadczeniami (poor credential management) sklasyfikowanego jako CWE-521 (słabe wymagania dotyczące haseł) oraz CWE-1393 (użycie domyślnych poświadczeń). Atakujący zdalny, nieuwierzytelniony użytkownik może wykorzystać tę słabość do uzyskania podwyższonych uprawnień na urządzeniu. Wektor ataku sieciowy bez wymagań dotyczących uwierzytelnienia (PR:N, UI:N) znacznie zwiększa ryzyko wykorzystania podatności.

Skutki

Atakujący może uzyskać podwyższone uprawnienia na urządzeniu, co w praktyce oznacza pełną kontrolę nad routerem, możliwość modyfikacji jego konfiguracji, przechwytywania ruchu sieciowego oraz naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się niezwłoczną zmianę domyślnych poświadczeń dostępu do urządzenia, ograniczenie dostępu do interfejsu zarządzania wyłącznie do zaufanych adresów IP oraz izolację urządzenia od publicznej sieci.

Kogo dotyczy

Connectize AC21000 G6 z firmware w wersji 641.139.1.1256

Uwagi

Podatność została ujawniona przez NCC Group w ramach doradztwa technicznego opublikowanego 19 października 2023 roku, obejmującego wiele podatności w routerze Connectize G6 AC2100 (CVE-2023-24046 do CVE-2023-24051).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Connectize Ac21000 G6

    HW
    Connectize
    wszystkie wersje
  • Connectize Ac21000 G6 Firmware

    OS
    Connectize
    641.139.1.1256
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2023-24051CRITICAL9.8PL ✓ten sam produkt

Brak ograniczenia liczby prób po stronie klienta w Connectize AC21000 G6

CVE-2023-24052CRITICAL9.8PL ✓ten sam produkt

Connectize AC21000 G6 — przejęcie kontroli przez zmianę hasła bez weryfikacji

CVE-2023-24048HIGH8.8ten sam produkt

Cross Site Request Forgery (CSRF) vulnerability in Connectize AC21000 G6 641.139.1.1256 allows attackers to ga...

CVE-2023-24046MEDIUM6.8ten sam produkt

An issue was discovered on Connectize AC21000 G6 641.139.1.1256 allows attackers to run arbitrary commands via...

CVE-2023-24047MEDIUM6.8ten sam produkt

An Insecure Credential Management issue discovered in Connectize AC21000 G6 641.139.1.1256 allows attackers to...