Urządzenia Hitron CODA-4582 i CODA-4589 generują domyślne klucze PSK (Pre-Shared Key) według przewidywalnego schematu, co skutkuje jedynie około milionem możliwych kombinacji. Atakujący w zasięgu sieci Wi-Fi może w krótkim czasie złamać klucz metodą brute-force i uzyskać nieautoryzowany dostęp do sieci.
▸ Pokaż oryginał (EN)
Hitron CODA-4582 and CODA-4589 devices have default PSKs that are generated from 5-digit hex values concatenated with a "Hitron" substring, resulting in insufficient entropy (only about one million possibilities).
Domyślny klucz PSK jest tworzony przez połączenie stałego ciągu znaków 'Hitron' z 5-cyfrową wartością szesnastkową (hex). Taka konstrukcja drastycznie ogranicza przestrzeń kluczy do około jednego miliona możliwości (CWE-331: niewystarczająca entropia). Atakujący, znając schemat generowania klucza, może z góry przygotować słownik lub przeprowadzić atak brute-force obejmujący wszystkie możliwe kombinacje i w stosunkowo krótkim czasie odgadnąć klucz bez jakiejkolwiek interakcji ze strony użytkownika.
Atakujący może uzyskać pełny nieautoryzowany dostęp do sieci Wi-Fi chronionej domyślnym kluczem PSK, co umożliwia przechwytywanie ruchu sieciowego, dostęp do podłączonych urządzeń oraz dalsze działania w sieci lokalnej ofiary.
Należy natychmiast zmienić domyślny klucz PSK sieci Wi-Fi na silne, losowo wygenerowane hasło o odpowiedniej długości i entropii. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji firmware zaleca się ręczną zmianę klucza PSK przez panel administracyjny urządzenia.
Urządzenia Hitron CODA-4582 oraz CODA-4589 korzystające z domyślnych, fabrycznie ustawionych kluczy PSK (wersje firmware wskazane w referencjach producenta).
Podatność wynika z przewidywalnego algorytmu generowania klucza PSK — schemat 'Hitron' + 5-cyfrowa wartość hex jest wspólny dla obu modeli urządzeń. Szczegóły techniczne oraz proof-of-concept są publicznie dostępne w repozytorium GitHub wskazanym w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HHitrontech Coda 4582u
HWHitrontechwszystkie wersjeHitrontech Coda 4582u Firmware
OSHitrontechwszystkie wersjeHitrontech Coda 4589
HWHitrontechwszystkie wersjeHitrontech Coda 4589 Firmware
OSHitrontechwszystkie wersje
Powiązane podatności
Hitron CODA-4582U 7.1.1.30 devices allow XSS via a Managed Device name on the Wireless > Access Control > Add ...
Hitron Technologies CODA-5310 Telnet function with the default account and password, and there is no warning o...
It is identified a vulnerability of insufficient authentication in the system configuration interface of Hitro...
Hitron CHITA 7.2.2.0.3b6-CD devices contain a command injection vulnerability via the Device/DDNS ddnsUsername...
Hitron CODA-5310 has insufficient filtering for specific parameters in the connection test function. A remote ...