CRITICAL🇬🇧 English

CVE-2025-12285

Brak wymuszonej zmiany hasła początkowego w urządzeniach Azure-Access BLU-IC

CVSS 10.0v4.0pub. 2025-10-26upd. 2025-11-10

Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 nie wymuszają zmiany domyślnego hasła przy pierwszym uruchomieniu. Podatność ta otrzymała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia kontroli nad urządzeniem przez nieuwierzytelnionego atakującego sieciowego.

Pokaż oryginał (EN)

Missing Initial Password Change.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

🤖 Analiza AI
Jak działa

Podatność klasyfikowana jako CWE-521 (słaba polityka haseł) oraz CWE-20 (niewystarczająca walidacja danych wejściowych) polega na braku mechanizmu wymuszającego zmianę hasła fabrycznego/domyślnego po pierwszym zalogowaniu. Atakujący posiadający wiedzę o domyślnych poświadczeniach producenta może uzyskać dostęp do urządzenia bez żadnych dodatkowych warunków wstępnych, ponieważ dostęp jest możliwy bezpośrednio przez sieć bez uwierzytelnienia specjalnego rodzaju. Wektor ataku sieciowy (AV:N) przy braku wymagań co do złożoności (AC:L) i uprawnień (PR:N) czyni exploit trywialnym do przeprowadzenia.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem, w tym dostęp do poufnych danych, możliwość modyfikacji konfiguracji oraz potencjalny wpływ na systemy z nim powiązane, co w przypadku urządzeń kontroli dostępu może skutkować naruszeniem fizycznego bezpieczeństwa obiektu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://azure-access.com/security-advisories). Do czasu aktualizacji firmware należy niezwłocznie ręcznie zmienić domyślne hasło urządzenia na silne, unikalne hasło oraz ograniczyć dostęp sieciowy do urządzeń wyłącznie do zaufanych hostów (np. poprzez firewall lub segmentację sieci).

Kogo dotyczy

Azure-Access BLU-IC2 we wszystkich wersjach firmware do 1.19.5 włącznie oraz Azure-Access BLU-IC4 we wszystkich wersjach firmware do 1.19.5 włącznie.

Uwagi

Podatność dotyczy urządzeń kontroli dostępu (access control), co może bezpośrednio przekładać się na naruszenie fizycznego bezpieczeństwa obiektów. Pomimo braku publicznego exploitu i wpisu w CISA KEV, charakter produktu oraz maksymalny wynik CVSS 10.0 uzasadniają pilne działanie naprawcze.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12285 — Brak wymuszonej zmiany hasła początkowego w urządzeniach Azure-Access BLU-IC — CRITICAL 10.0 | CVEbaza.pl