CRITICAL🇬🇧 English

CVE-2024-47547

Słaby mechanizm zmiany hasła w Ruijie Reyee OS — podatność na brute force

CVSS 9.3v4.0pub. 2024-12-06upd. 2024-12-10

Ruijie Reyee OS zawiera słaby mechanizm zmiany haseł przez użytkowników, co naraża proces uwierzytelniania na ataki brute force. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika do przeprowadzenia ataku.

Pokaż oryginał (EN)

Ruijie Reyee OS versions 2.206.x up to but not including 2.320.x contains a weak mechanism for its users to change their passwords which leaves authentication vulnerable to brute force attacks.

🤖 Analiza AI
Jak działa

Mechanizm zmiany haseł zaimplementowany w systemie Ruijie Reyee OS jest zbyt słaby, aby skutecznie chronić przed automatycznym zgadywaniem haseł (CWE-640 — Weak Password Recovery Mechanism for Forgotten Password). Atakujący zdalnie, bez konieczności posiadania uprawnień ani angażowania ofiary, może przeprowadzić atak brute force na proces uwierzytelniania, wielokrotnie próbując różnych kombinacji haseł bez skutecznego blokowania czy ograniczania prób.

Skutki

Atakujący może przejąć kontrolę nad kontem użytkownika poprzez odgadnięcie hasła, co prowadzi do nieautoryzowanego dostępu do systemu oraz potencjalnej kompromitacji poufności i integralności danych zarządzanych przez urządzenie.

Mitygacja

Należy zaktualizować Ruijie Reyee OS do wersji 2.320.x lub nowszej. Szczegółowe informacje o dostępnych patchach znajdują się w poradniku ICS-CERT ICSA-24-338-01 dostępnym pod adresem: https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-01

Kogo dotyczy

Ruijie Reyee OS w wersjach od 2.206.x do (z wyłączeniem) 2.320.x

Uwagi

Podatność została opisana w poradniku ICS (Industrial Control Systems) opublikowanym przez CISA (ICSA-24-338-01), co wskazuje na kontekst zastosowań przemysłowych i infrastrukturalnych urządzeń sieciowych Ruijie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Ruijienetworks Reyee Os

    OS
    Ruijienetworks
    2.206.0 – 2.320.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-53881CRITICAL9.2PL ✓ten sam produkt

ReyeeOS: RCE przez niezaszyfrowaną komunikację CWMP (MitM)

CVE-2024-52324CRITICAL9.2PL ✓ten sam produkt

RCE poprzez niebezpieczną funkcję w Ruijie Reyee OS — wykonanie dowolnych poleceń OS

CVE-2024-48874CRITICAL9.3PL ✓ten sam produkt

SSRF w Ruijie Reyee OS — dostęp do wewnętrznej infrastruktury chmurowej

CVE-2024-46874CRITICAL9.2PL ✓ten sam produkt

Ruijie Reyee OS — nieautoryzowane polecenia do urządzeń przez MQTT

CVE-2025-56077HIGH8.8ten sam produkt

OS Command Injection vulnerability in Ruijie RG-RAP2200(E) 247 2200 allowing attackers to execute arbitrary co...