CRITICAL🇬🇧 English

CVE-2024-25730

Hitron CODA-4582/4589 — słabe domyślne klucze PSK z niewystarczającą entropią

CVSS 9.8v3.1pub. 2024-02-23upd. 2025-05-05

Urządzenia Hitron CODA-4582 i CODA-4589 generują domyślne klucze PSK (Pre-Shared Key) według przewidywalnego schematu, co skutkuje jedynie około milionem możliwych kombinacji. Atakujący w zasięgu sieci Wi-Fi może w krótkim czasie złamać klucz metodą brute-force i uzyskać nieautoryzowany dostęp do sieci.

Pokaż oryginał (EN)

Hitron CODA-4582 and CODA-4589 devices have default PSKs that are generated from 5-digit hex values concatenated with a "Hitron" substring, resulting in insufficient entropy (only about one million possibilities).

🤖 Analiza AI
Jak działa

Domyślny klucz PSK jest tworzony przez połączenie stałego ciągu znaków 'Hitron' z 5-cyfrową wartością szesnastkową (hex). Taka konstrukcja drastycznie ogranicza przestrzeń kluczy do około jednego miliona możliwości (CWE-331: niewystarczająca entropia). Atakujący, znając schemat generowania klucza, może z góry przygotować słownik lub przeprowadzić atak brute-force obejmujący wszystkie możliwe kombinacje i w stosunkowo krótkim czasie odgadnąć klucz bez jakiejkolwiek interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać pełny nieautoryzowany dostęp do sieci Wi-Fi chronionej domyślnym kluczem PSK, co umożliwia przechwytywanie ruchu sieciowego, dostęp do podłączonych urządzeń oraz dalsze działania w sieci lokalnej ofiary.

Mitygacja

Należy natychmiast zmienić domyślny klucz PSK sieci Wi-Fi na silne, losowo wygenerowane hasło o odpowiedniej długości i entropii. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji firmware zaleca się ręczną zmianę klucza PSK przez panel administracyjny urządzenia.

Kogo dotyczy

Urządzenia Hitron CODA-4582 oraz CODA-4589 korzystające z domyślnych, fabrycznie ustawionych kluczy PSK (wersje firmware wskazane w referencjach producenta).

Uwagi

Podatność wynika z przewidywalnego algorytmu generowania klucza PSK — schemat 'Hitron' + 5-cyfrowa wartość hex jest wspólny dla obu modeli urządzeń. Szczegóły techniczne oraz proof-of-concept są publicznie dostępne w repozytorium GitHub wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hitrontech Coda 4582u

    HW
    Hitrontech
    wszystkie wersje
  • Hitrontech Coda 4582u Firmware

    OS
    Hitrontech
    wszystkie wersje
  • Hitrontech Coda 4589

    HW
    Hitrontech
    wszystkie wersje
  • Hitrontech Coda 4589 Firmware

    OS
    Hitrontech
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2020-8824MEDIUM5.4ten sam produkt

Hitron CODA-4582U 7.1.1.30 devices allow XSS via a Managed Device name on the Wireless > Access Control > Add ...

CVE-2023-30603CRITICAL9.8ten sam vendor

Hitron Technologies CODA-5310 Telnet function with the default account and password, and there is no warning o...

CVE-2023-30604CRITICAL9.8ten sam vendor

It is identified a vulnerability of insufficient authentication in the system configuration interface of Hitro...

CVE-2022-25017CRITICAL9.1ten sam vendor

Hitron CHITA 7.2.2.0.3b6-CD devices contain a command injection vulnerability via the Device/DDNS ddnsUsername...

CVE-2022-47616HIGH7.2ten sam vendor

Hitron CODA-5310 has insufficient filtering for specific parameters in the connection test function. A remote ...