Podatność klasy CWE-770 w urządzeniach Azure Access Technology BLU-IC2 oraz BLU-IC4 umożliwia atakującemu przeprowadzenie ataku typu flooding bez konieczności uwierzytelnienia. Luka otrzymała maksymalną ocenę CVSS 10.0, co czyni ją zagrożeniem krytycznym.
▸ Pokaż oryginał (EN)
Allocation of Resources Without Limits or Throttling vulnerability in Azure Access Technology BLU-IC2, Azure Access Technology BLU-IC4 allows Flooding.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
Urządzenia BLU-IC2 i BLU-IC4 nie implementują mechanizmów ograniczania ani kontroli przydziału zasobów sieciowych. Atakujący zdalnie, bez żadnych uprawnień, może wysyłać nadmierną liczbę żądań lub połączeń, powodując wyczerpanie zasobów urządzenia. Brak throttlingu lub limitów po stronie urządzenia sprawia, że atak flooding może być przeprowadzony przez dowolny podmiot sieciowy.
Atakujący może doprowadzić do niedostępności urządzenia (denial of service), a ze względu na maksymalny wpływ na poufność, integralność i dostępność zarówno systemu, jak i jego otoczenia — potencjalnie także do utraty kontroli nad urządzeniem i systemami z nim powiązanymi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu sieciowego do urządzeń BLU-IC2 i BLU-IC4 wyłącznie do zaufanych hostów poprzez reguły firewall lub segmentację sieci.
Azure Access Technology BLU-IC2 we wszystkich wersjach firmware do 1.19.5 włącznie oraz Azure Access Technology BLU-IC4 we wszystkich wersjach firmware do 1.19.5 włącznie.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAzure Access Blu Ic2
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic2 Firmware
OSAzure-Access< 1.20Azure Access Blu Ic4
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic4 Firmware
OSAzure-Access< 1.20
Powiązane podatności
Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4
Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4
Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4
Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4
Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4