CRITICAL🇬🇧 English

CVE-2025-12218

Słabe domyślne dane uwierzytelniające w urządzeniach Azure-Access BLU-IC

CVSS 10.0v4.0pub. 2025-10-25upd. 2025-11-10

Urządzenia Azure-Access BLU-IC2 i BLU-IC4 posiadają słabe domyślne dane uwierzytelniające (CWE-1392), co umożliwia nieautoryzowany dostęp bez konieczności posiadania jakichkolwiek uprawnień. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczną.

Pokaż oryginał (EN)

Weak Default Credentials.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

🤖 Analiza AI
Jak działa

Podatność polega na tym, że oprogramowanie sprzętowe (firmware) urządzeń BLU-IC2 i BLU-IC4 zawiera słabe domyślne dane uwierzytelniające, które prawdopodobnie nie są wymuszane do zmiany przez użytkownika podczas konfiguracji. Atakujący zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, może wykorzystać te znane lub łatwe do odgadnięcia dane logowania, aby uzyskać dostęp do urządzenia. Wektor ataku sieciowego (AV:N) w połączeniu z brakiem wymaganych uprawnień (PR:N) i interakcji (UI:N) sprawia, że atak jest prosty do przeprowadzenia na dużą skalę.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem, co skutkuje kompromitacją poufności, integralności i dostępności zarówno samego systemu, jak i powiązanych zasobów sieciowych (SC:H/SI:H/SA:H). Może to prowadzić do nieuprawnionego dostępu do infrastruktury kontroli dostępu fizycznego, modyfikacji jej konfiguracji lub wykorzystania urządzeń jako punktu wejścia do sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://azure-access.com/security-advisories). Do czasu aktualizacji firmware należy niezwłocznie zmienić domyślne dane uwierzytelniające na silne, unikalne hasła, ograniczyć dostęp sieciowy do urządzeń za pomocą firewall lub segmentacji sieci oraz wyłączyć dostęp zdalny, jeśli nie jest wymagany.

Kogo dotyczy

Azure-Access BLU-IC2 z firmware w wersji do 1.19.5 włącznie oraz Azure-Access BLU-IC4 z firmware w wersji do 1.19.5 włącznie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4