CRITICAL🇬🇧 English

CVE-2024-31070

Auth Bypass w FutureNet NXR/VXR/WXR — nieograniczony dostęp do usługi Telnet

CVSS 9.1v3.1pub. 2024-07-17upd. 2024-11-21

Podatność w urządzeniach FutureNet serii NXR, VXR i WXR firmy Century Systems polega na inicjalizacji zasobu z niebezpieczną konfiguracją domyślną, co umożliwia zdalny, nieuwierzytelniony dostęp do usługi Telnet. Jest to krytyczne zagrożenie, ponieważ atakujący może uzyskać dostęp do zarządzania urządzeniem sieciowym bez żadnych poświadczeń.

Pokaż oryginał (EN)

Initialization of a resource with an insecure default vulnerability in FutureNet NXR series, VXR series and WXR series provided by Century Systems Co., Ltd. allows a remote unauthenticated attacker to access telnet service unlimitedly.

🤖 Analiza AI
Jak działa

Podatność wynika z zastosowania niebezpiecznych ustawień domyślnych podczas inicjalizacji zasobu (CWE-1188). Usługa Telnet na urządzeniu nie wymaga uwierzytelnienia lub jej mechanizm kontroli dostępu jest skonfigurowany w sposób pozwalający na nieograniczone połączenia. Zdalny, nieuwierzytelniony atakujący może połączyć się z usługą Telnet przez sieć bez podawania jakichkolwiek danych logowania, co całkowicie obchodzi mechanizmy uwierzytelniania.

Skutki

Atakujący uzyskuje nieograniczony dostęp do usługi Telnet urządzenia, co może prowadzić do przejęcia kontroli nad konfiguracją urządzenia sieciowego oraz ujawnienia poufnych danych konfiguracyjnych. Może to skutkować naruszeniem poufności i dostępności całej infrastruktury sieciowej obsługiwanej przez urządzenie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (opublikowane 2024-07-16 na stronie Century Systems). Dodatkowo zaleca się natychmiastowe wyłączenie lub ograniczenie dostępu do usługi Telnet na poziomie firewalla oraz zastąpienie Telnet protokołem SSH tam, gdzie jest to możliwe.

Kogo dotyczy

Oprogramowanie firmware urządzeń Century Systems FutureNet NXR-1300, NXR-155/C, NXR-610X, NXR-G050, NXR-G060 oraz innych urządzeń serii NXR, VXR i WXR — konkretne wersje firmware wskazane w referencjach producenta.

Uwagi

Podatność została ujawniona za pośrednictwem japońskiej bazy JVN (JVNVU#96424864). Producent Century Systems Co., Ltd. opublikował informacje o aktualizacjach zabezpieczeń w dniu 2024-07-16. Problem dotyczy również serii VXR i WXR, które nie zostały bezpośrednio wymienione w liście produktów CVE, lecz są wskazane w opisie podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
  • Centurysys Futurenet Nxr 1200

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 1200 Firmware

    OS
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 120\/c

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 120\/c Firmware

    OS
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 125\/cx Firmware

    OS
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 1300 Firmware

    OS
    Centurysys
    < 7.4.10
  • Centurysys Futurenet Nxr 130\/c

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 130\/c Firmware

    OS
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 155\/c Firmware

    OS
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 160\/lw

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 160\/lw Firmware

    OS
    Centurysys
    < 21.8.4
  • Centurysys Futurenet Nxr 230\/c

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 230\/c Firmware

    OS
    Centurysys
    < 5.30.13
  • Centurysys Futurenet Nxr 350\/c

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 350\/c Firmware

    OS
    Centurysys
    < 5.30.9c
  • Centurysys Futurenet Nxr 530

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 530 Firmware

    OS
    Centurysys
    < 21.11.14
  • Centurysys Futurenet Nxr 610x Firmware

    OS
    Centurysys
    < 21.14.11c
  • Centurysys Futurenet Nxr 650 Firmware

    OS
    Centurysys
    < 21.16.2
  • Centurysys Futurenet Nxr G050 Firmware

    OS
    Centurysys
    < 21.12.10
  • Centurysys Futurenet Nxr G060 Firmware

    OS
    Centurysys
    < 21.15.6
  • Centurysys Futurenet Nxr G100 Firmware

    OS
    Centurysys
    < 6.23.11
  • Centurysys Futurenet Nxr G110 Firmware

    OS
    Centurysys
    < 21.7.32
  • Centurysys Futurenet Nxr G120 Firmware

    OS
    Centurysys
    < 21.15.2c
  • Centurysys Futurenet Nxr G180\/l Ca

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr G180\/l Ca Firmware

    OS
    Centurysys
    < 21.7.28c
  • Centurysys Futurenet Nxr G200 Firmware

    OS
    Centurysys
    < 9.12.16
  • Centurysys Futurenet Vxr X64

    OS
    Centurysys
    < 21.7.32
  • Centurysys Futurenet Vxr X86

    OS
    Centurysys
    < 10.1.5
  • Centurysys Futurenet Wxr 250

    HW
    Centurysys
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-36491CRITICAL9.8PL ✓ten sam produkt

Command Injection w urządzeniach FutureNet NXR/VXR/WXR (Century Systems)

CVE-2024-36475HIGH8.8ten sam produkt

FutureNet NXR series, VXR series and WXR series provided by Century Systems Co., Ltd. contain an active debug ...

CVE-2008-6449MEDIUM4.0ten sam vendor

Cross-site request forgery (CSRF) vulnerability in multiple Century Systems routers including XR-410 before 1....