CRITICAL🇬🇧 English

CVE-2024-8456

Brak kontroli dostępu w firmware PLANET GS-4210 — przejęcie pełnej kontroli

CVSS 9.8v3.1pub. 2024-09-30upd. 2024-10-04

Wybrane przełączniki sieciowe PLANET Technology posiadają krytyczną podatność braku kontroli dostępu (CWE-306) w funkcji wgrywania i pobierania firmware. Nieuwierzytelniony zdalny atakujący może pobrać i wgrać dowolny firmware oraz konfigurację systemową, uzyskując pełną kontrolę nad urządzeniem.

Pokaż oryginał (EN)

Certain switch models from PLANET Technology lack proper access control in firmware upload and download functionality, allowing unauthenticated remote attackers to download and upload firmware and system configurations, ultimately gaining full control of the devices.

🤖 Analiza AI
Jak działa

Podatność wynika z braku wymagania jakiegokolwiek uwierzytelnienia podczas wykonywania operacji upload i download firmware oraz konfiguracji systemowej. Atakujący zdalnie, bez podawania danych logowania, może pobrać aktualną konfigurację urządzenia (zawierającą potencjalnie dane wrażliwe) lub wgrać zmodyfikowany firmware. Przesłanie spreparowanego firmware pozwala na trwałe przejęcie urządzenia.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem sieciowym — w tym odczytać jego konfigurację, zmodyfikować firmware oraz trwale przejąć kontrolę nad przełącznikiem. Może to prowadzić do naruszenia poufności, integralności i dostępności całej sieci obsługiwanej przez to urządzenie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się izolację interfejsu zarządzania urządzeń od nieautoryzowanych sieci oraz ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych adresów IP poprzez firewall lub dedykowaną sieć zarządzania (out-of-band management).

Kogo dotyczy

Przełączniki sieciowe PLANET Technology: GS-4210-24P2S (wraz z firmware) oraz GS-4210-24PL4C (wraz z firmware) — konkretne wersje firmware wskazane w referencjach producenta.

Uwagi

Podatność zgłoszona i opublikowana przez TWCERT/CC (Taiwan Computer Emergency Response Team / Coordination Center). Szczegółowe informacje dostępne w serwisie TWCERT pod identyfikatorem opublikowanym 2024-09-30.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Planet Gs 4210 24p2s

    HW
    Planet
    3.0
  • Planet Gs 4210 24p2s Firmware

    OS
    Planet
    < 3.305b240802
  • Planet Gs 4210 24pl4c

    HW
    Planet
    2.0
  • Planet Gs 4210 24pl4c Firmware

    OS
    Planet
    < 2.305b240719
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-8448HIGH8.8ten sam produkt

Certain switch models from PLANET Technology have a hard-coded credential in the specific command-line interfa...

CVE-2024-8450HIGH8.6ten sam produkt

Certain switch models from PLANET Technology have a Hard-coded community string in the SNMPv1 service, allowin...

CVE-2024-8451HIGH7.5ten sam produkt

Certain switch models from PLANET Technology have an SSH service that improperly handles insufficiently authen...

CVE-2024-8452HIGH7.5ten sam produkt

Certain switch models from PLANET Technology only support obsolete algorithms for authentication protocol and ...

CVE-2024-8455HIGH8.1ten sam produkt

The swctrl service is used to detect and remotely manage PLANET Technology devices. For certain switch models,...

CVE-2024-8456 — Brak kontroli dostępu w firmware PLANET GS-4210 — przejęcie pełnej kontroli — CRITICAL 9.8 | CVEbaza.pl