CRITICAL🇬🇧 English

CVE-2025-12176

Nieudokumentowane konta administracyjne w Azure-Access BLU-IC2 i BLU-IC4

CVSS 10.0v4.0pub. 2025-10-24upd. 2025-11-10

W urządzeniach Azure-Access BLU-IC2 oraz BLU-IC4 (firmware do wersji 1.19.5 włącznie) automatycznie tworzone są nieudokumentowane konta administracyjne. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla infrastruktury, w której działają te urządzenia.

Pokaż oryginał (EN)

Undocumented administrative accounts were getting created to facilitate access for applications running on board.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

🤖 Analiza AI
Jak działa

Oprogramowanie układowe urządzeń BLU-IC2 i BLU-IC4 tworzy ukryte konta administracyjne w celu ułatwienia dostępu aplikacjom działającym na pokładzie urządzenia. Konta te nie są dokumentowane ani ujawniane administratorom systemu, co oznacza, że ich dane uwierzytelniające mogą być znane atakującemu posiadającemu wiedzę o mechanizmie ich tworzenia. Podatność klasyfikowana jest jako CWE-1242 (Included Undocumented Features or Chicken Bits), wskazując na celowo wbudowaną, ale ukrytą funkcjonalność.

Skutki

Atakujący, który zna dane uwierzytelniające do nieudokumentowanych kont, może uzyskać pełny dostęp administracyjny do urządzenia bez wiedzy właściciela. Może to prowadzić do przejęcia kontroli nad urządzeniem, kompromitacji sieci oraz systemów z nim powiązanych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu wdrożenia aktualizacji zaleca się izolację urządzeń od niezaufanych segmentów sieci oraz monitorowanie nieautoryzowanych prób logowania.

Kogo dotyczy

Azure-Access BLU-IC2 z firmware w wersjach do 1.19.5 włącznie; Azure-Access BLU-IC4 z firmware w wersjach do 1.19.5 włącznie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4