Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 nie wymuszają zmiany domyślnego hasła przy pierwszym uruchomieniu. Podatność ta otrzymała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia kontroli nad urządzeniem przez nieuwierzytelnionego atakującego sieciowego.
▸ Pokaż oryginał (EN)
Missing Initial Password Change.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
Podatność klasyfikowana jako CWE-521 (słaba polityka haseł) oraz CWE-20 (niewystarczająca walidacja danych wejściowych) polega na braku mechanizmu wymuszającego zmianę hasła fabrycznego/domyślnego po pierwszym zalogowaniu. Atakujący posiadający wiedzę o domyślnych poświadczeniach producenta może uzyskać dostęp do urządzenia bez żadnych dodatkowych warunków wstępnych, ponieważ dostęp jest możliwy bezpośrednio przez sieć bez uwierzytelnienia specjalnego rodzaju. Wektor ataku sieciowy (AV:N) przy braku wymagań co do złożoności (AC:L) i uprawnień (PR:N) czyni exploit trywialnym do przeprowadzenia.
Atakujący może uzyskać pełną kontrolę nad urządzeniem, w tym dostęp do poufnych danych, możliwość modyfikacji konfiguracji oraz potencjalny wpływ na systemy z nim powiązane, co w przypadku urządzeń kontroli dostępu może skutkować naruszeniem fizycznego bezpieczeństwa obiektu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://azure-access.com/security-advisories). Do czasu aktualizacji firmware należy niezwłocznie ręcznie zmienić domyślne hasło urządzenia na silne, unikalne hasło oraz ograniczyć dostęp sieciowy do urządzeń wyłącznie do zaufanych hostów (np. poprzez firewall lub segmentację sieci).
Azure-Access BLU-IC2 we wszystkich wersjach firmware do 1.19.5 włącznie oraz Azure-Access BLU-IC4 we wszystkich wersjach firmware do 1.19.5 włącznie.
Podatność dotyczy urządzeń kontroli dostępu (access control), co może bezpośrednio przekładać się na naruszenie fizycznego bezpieczeństwa obiektów. Pomimo braku publicznego exploitu i wpisu w CISA KEV, charakter produktu oraz maksymalny wynik CVSS 10.0 uzasadniają pilne działanie naprawcze.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAzure Access Blu Ic2
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic2 Firmware
OSAzure-Access< 1.20Azure Access Blu Ic4
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic4 Firmware
OSAzure-Access< 1.20
Powiązane podatności
Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4
Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4
Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4
Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4
Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4