W systemach FydeOS for PC 17.1 R114, FydeOS for VMware 17.0 R114, FydeOS for You 17.1 R114 oraz OpenFyde R114 hasło roota zostało skonfigurowane jako wildcard (symbol wieloznaczny), co w praktyce oznacza brak wymaganego hasła. Atakujący może uzyskać pełny dostęp administracyjny do systemu bez podawania jakichkolwiek poświadczeń.
▸ Pokaż oryginał (EN)
FydeOS for PC 17.1 R114, FydeOS for VMware 17.0 R114, FydeOS for You 17.1 R114, and OpenFyde R114 were discovered to be configured with the root password saved as a wildcard. This allows attackers to gain root access without a password.
Podatność wynika z błędnej konfiguracji fabrycznej — hasło konta root zapisano jako wildcard zamiast silnego, losowego hasła. CWE-259 opisuje użycie zakodowanego na stałe (hard-coded) hasła; w tym przypadku wildcard działa jako hasło akceptujące każde lub żadne uwierzytelnienie. Każda osoba z dostępem sieciowym lub lokalnym do systemu może zalogować się jako root, pomijając standardowy mechanizm uwierzytelnienia.
Atakujący uzyskuje pełne uprawnienia roota, co daje całkowitą kontrolę nad systemem — możliwość odczytu i modyfikacji danych, instalacji oprogramowania, zmiany konfiguracji oraz trwałego skompromitowania urządzenia.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://fydeos.io/, https://openfyde.io/). Do czasu aktualizacji zaleca się ręczne ustawienie silnego hasła dla konta root oraz ograniczenie dostępu do systemu na poziomie sieci i fizycznym.
FydeOS for PC 17.1 R114, FydeOS for VMware 17.0 R114, FydeOS for You 17.1 R114 oraz OpenFyde R114
Szczegóły techniczne podatności zostały opublikowane publicznie w serwisie GitHub Gist (https://gist.github.com/hchasens/d20dff418f6908dc96e65f4e43a058f1), co zwiększa ryzyko wykorzystania przez osoby o niskich kwalifikacjach technicznych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H