CRITICAL🇬🇧 English

CVE-2025-12364

Słaba polityka haseł w Azure-Access BLU-IC2 i BLU-IC4 (CVSS 10.0)

CVSS 10.0v4.0pub. 2025-10-27upd. 2025-11-10

Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 posiadają krytyczną podatność wynikającą ze słabej polityki haseł (CWE-521), co pozwala nieuwierzytelnionemu atakującemu na przejęcie kontroli nad urządzeniem przez sieć. Podatność otrzymała maksymalną ocenę CVSS 10.0, co oznacza skrajnie wysokie ryzyko dla środowisk, w których te urządzenia są wdrożone.

Pokaż oryginał (EN)

Weak Password Policy.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

🤖 Analiza AI
Jak działa

Podatność polega na braku lub niewystarczającym wymuszaniu silnych haseł w oprogramowaniu firmware urządzeń BLU-IC2 i BLU-IC4 (CWE-521: Weak Password Requirements). Atakujący może bez żadnych wstępnych uprawnień, zdalnie przez sieć i bez interakcji użytkownika, uzyskać dostęp do urządzenia wykorzystując słabe lub domyślne hasło. Wektor ataku nie wymaga specjalnych warunków ani zaawansowanych technik, co czyni atak bardzo prostym do przeprowadzenia.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem, prowadząc do naruszenia poufności, integralności i dostępności zarówno samego urządzenia, jak i systemów z nim powiązanych. Ze względu na maksymalne wartości wpływu również na systemy wtórne (SC:H, SI:H, SA:H), kompromitacja może mieć poważne konsekwencje dla całej infrastruktury sieciowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu aktualizacji firmware zaleca się izolację urządzeń od sieci publicznych, wymuszenie zmiany haseł na silne i unikalne oraz ograniczenie dostępu do urządzeń wyłącznie do zaufanych segmentów sieci.

Kogo dotyczy

Azure-Access BLU-IC2 z firmware do wersji 1.19.5 włącznie oraz Azure-Access BLU-IC4 z firmware do wersji 1.19.5 włącznie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4