Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 posiadają krytyczną podatność wynikającą ze słabej polityki haseł (CWE-521), co pozwala nieuwierzytelnionemu atakującemu na przejęcie kontroli nad urządzeniem przez sieć. Podatność otrzymała maksymalną ocenę CVSS 10.0, co oznacza skrajnie wysokie ryzyko dla środowisk, w których te urządzenia są wdrożone.
▸ Pokaż oryginał (EN)
Weak Password Policy.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
Podatność polega na braku lub niewystarczającym wymuszaniu silnych haseł w oprogramowaniu firmware urządzeń BLU-IC2 i BLU-IC4 (CWE-521: Weak Password Requirements). Atakujący może bez żadnych wstępnych uprawnień, zdalnie przez sieć i bez interakcji użytkownika, uzyskać dostęp do urządzenia wykorzystując słabe lub domyślne hasło. Wektor ataku nie wymaga specjalnych warunków ani zaawansowanych technik, co czyni atak bardzo prostym do przeprowadzenia.
Atakujący może uzyskać pełną kontrolę nad urządzeniem, prowadząc do naruszenia poufności, integralności i dostępności zarówno samego urządzenia, jak i systemów z nim powiązanych. Ze względu na maksymalne wartości wpływu również na systemy wtórne (SC:H, SI:H, SA:H), kompromitacja może mieć poważne konsekwencje dla całej infrastruktury sieciowej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu aktualizacji firmware zaleca się izolację urządzeń od sieci publicznych, wymuszenie zmiany haseł na silne i unikalne oraz ograniczenie dostępu do urządzeń wyłącznie do zaufanych segmentów sieci.
Azure-Access BLU-IC2 z firmware do wersji 1.19.5 włącznie oraz Azure-Access BLU-IC4 z firmware do wersji 1.19.5 włącznie.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAzure Access Blu Ic2
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic2 Firmware
OSAzure-Access< 1.20Azure Access Blu Ic4
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic4 Firmware
OSAzure-Access< 1.20
Powiązane podatności
Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4
Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4
Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4
Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4
Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4