Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 w wersjach do 1.19.5 są podatne na ataki Cross-Site Request Forgery (CSRF) z powodu systemowego braku implementacji tokenów CSRF. Podatność otrzymała ocenę CVSS 10.0, co oznacza krytyczne zagrożenie możliwe do wykorzystania przez nieuwierzytelnionego atakującego zdalnie.
▸ Pokaż oryginał (EN)
Systemic Lack of Cross-Site Request Forgery (CSRF) Token Implementation.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5 .
CWE-352 (Cross-Site Request Forgery) polega na tym, że aplikacja webowa zarządzająca urządzeniem nie weryfikuje, czy przychodzące żądania HTTP rzeczywiście pochodzą od uprawnionego użytkownika. Atakujący może nakłonić zalogowanego użytkownika do odwiedzenia złośliwej strony lub kliknięcia przygotowanego odnośnika, co spowoduje nieświadome wysłanie żądań do urządzenia w kontekście jego aktywnej sesji. Urządzenie, nie posiadając żadnych tokenów CSRF, akceptuje takie żądania jako prawidłowe. Problem ma charakter systemowy — brak ochrony CSRF dotyczy całej aplikacji, a nie pojedynczego endpointu.
Atakujący może zdalnie wykonywać nieautoryzowane operacje na urządzeniu z uprawnieniami zalogowanego użytkownika, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem, zmiany jego konfiguracji, naruszenia poufności i integralności danych oraz wpływu na dostępność systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu aktualizacji firmware zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniami wyłącznie do zaufanych sieci wewnętrznych oraz unikanie przeglądania innych stron internetowych podczas aktywnej sesji administracyjnej.
Azure-Access BLU-IC2 (firmware) w wersjach do 1.19.5 włącznie oraz Azure-Access BLU-IC4 (firmware) w wersjach do 1.19.5 włącznie.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAzure Access Blu Ic2
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic2 Firmware
OSAzure-Access< 1.20Azure Access Blu Ic4
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic4 Firmware
OSAzure-Access< 1.20
Powiązane podatności
Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4
Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4
Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4
Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4
Systemiczne błędy wewnętrzne serwera (HTTP 500) w Azure-Access BLU-IC2 i BLU-IC4