Podatność w urządzeniach FutureNet serii NXR, VXR i WXR firmy Century Systems polega na inicjalizacji zasobu z niebezpieczną konfiguracją domyślną, co umożliwia zdalny, nieuwierzytelniony dostęp do usługi Telnet. Jest to krytyczne zagrożenie, ponieważ atakujący może uzyskać dostęp do zarządzania urządzeniem sieciowym bez żadnych poświadczeń.
▸ Pokaż oryginał (EN)
Initialization of a resource with an insecure default vulnerability in FutureNet NXR series, VXR series and WXR series provided by Century Systems Co., Ltd. allows a remote unauthenticated attacker to access telnet service unlimitedly.
Podatność wynika z zastosowania niebezpiecznych ustawień domyślnych podczas inicjalizacji zasobu (CWE-1188). Usługa Telnet na urządzeniu nie wymaga uwierzytelnienia lub jej mechanizm kontroli dostępu jest skonfigurowany w sposób pozwalający na nieograniczone połączenia. Zdalny, nieuwierzytelniony atakujący może połączyć się z usługą Telnet przez sieć bez podawania jakichkolwiek danych logowania, co całkowicie obchodzi mechanizmy uwierzytelniania.
Atakujący uzyskuje nieograniczony dostęp do usługi Telnet urządzenia, co może prowadzić do przejęcia kontroli nad konfiguracją urządzenia sieciowego oraz ujawnienia poufnych danych konfiguracyjnych. Może to skutkować naruszeniem poufności i dostępności całej infrastruktury sieciowej obsługiwanej przez urządzenie.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (opublikowane 2024-07-16 na stronie Century Systems). Dodatkowo zaleca się natychmiastowe wyłączenie lub ograniczenie dostępu do usługi Telnet na poziomie firewalla oraz zastąpienie Telnet protokołem SSH tam, gdzie jest to możliwe.
Oprogramowanie firmware urządzeń Century Systems FutureNet NXR-1300, NXR-155/C, NXR-610X, NXR-G050, NXR-G060 oraz innych urządzeń serii NXR, VXR i WXR — konkretne wersje firmware wskazane w referencjach producenta.
Podatność została ujawniona za pośrednictwem japońskiej bazy JVN (JVNVU#96424864). Producent Century Systems Co., Ltd. opublikował informacje o aktualizacjach zabezpieczeń w dniu 2024-07-16. Problem dotyczy również serii VXR i WXR, które nie zostały bezpośrednio wymienione w liście produktów CVE, lecz są wskazane w opisie podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:HCenturysys Futurenet Nxr 1200
HWCenturysyswszystkie wersjeCenturysys Futurenet Nxr 1200 Firmware
OSCenturysyswszystkie wersjeCenturysys Futurenet Nxr 120\/c
HWCenturysyswszystkie wersjeCenturysys Futurenet Nxr 120\/c Firmware
OSCenturysyswszystkie wersjeCenturysys Futurenet Nxr 125\/cx Firmware
OSCenturysyswszystkie wersjeCenturysys Futurenet Nxr 1300 Firmware
OSCenturysys< 7.4.10Centurysys Futurenet Nxr 130\/c
HWCenturysyswszystkie wersjeCenturysys Futurenet Nxr 130\/c Firmware
OSCenturysyswszystkie wersjeCenturysys Futurenet Nxr 155\/c Firmware
OSCenturysyswszystkie wersjeCenturysys Futurenet Nxr 160\/lw
HWCenturysyswszystkie wersjeCenturysys Futurenet Nxr 160\/lw Firmware
OSCenturysys< 21.8.4Centurysys Futurenet Nxr 230\/c
HWCenturysyswszystkie wersjeCenturysys Futurenet Nxr 230\/c Firmware
OSCenturysys< 5.30.13Centurysys Futurenet Nxr 350\/c
HWCenturysyswszystkie wersjeCenturysys Futurenet Nxr 350\/c Firmware
OSCenturysys< 5.30.9cCenturysys Futurenet Nxr 530
HWCenturysyswszystkie wersjeCenturysys Futurenet Nxr 530 Firmware
OSCenturysys< 21.11.14Centurysys Futurenet Nxr 610x Firmware
OSCenturysys< 21.14.11cCenturysys Futurenet Nxr 650 Firmware
OSCenturysys< 21.16.2Centurysys Futurenet Nxr G050 Firmware
OSCenturysys< 21.12.10Centurysys Futurenet Nxr G060 Firmware
OSCenturysys< 21.15.6Centurysys Futurenet Nxr G100 Firmware
OSCenturysys< 6.23.11Centurysys Futurenet Nxr G110 Firmware
OSCenturysys< 21.7.32Centurysys Futurenet Nxr G120 Firmware
OSCenturysys< 21.15.2cCenturysys Futurenet Nxr G180\/l Ca
HWCenturysyswszystkie wersjeCenturysys Futurenet Nxr G180\/l Ca Firmware
OSCenturysys< 21.7.28cCenturysys Futurenet Nxr G200 Firmware
OSCenturysys< 9.12.16Centurysys Futurenet Vxr X64
OSCenturysys< 21.7.32Centurysys Futurenet Vxr X86
OSCenturysys< 10.1.5Centurysys Futurenet Wxr 250
HWCenturysyswszystkie wersje
Powiązane podatności
Command Injection w urządzeniach FutureNet NXR/VXR/WXR (Century Systems)
FutureNet NXR series, VXR series and WXR series provided by Century Systems Co., Ltd. contain an active debug ...
Cross-site request forgery (CSRF) vulnerability in multiple Century Systems routers including XR-410 before 1....