CRITICAL🇬🇧 English

CVE-2025-12599

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVSS 10.0v4.0pub. 2025-11-01upd. 2025-11-10

Urządzenia Azure-Access BLU-IC2 i BLU-IC4 wykorzystują te same, z góry osadzone sekrety (hardcoded secrets) do komunikacji przez interfejs SDKSocket (TCP/5000). Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją krytycznym zagrożeniem dla wszystkich wdrożeń tych urządzeń.

Pokaż oryginał (EN)

Multiple Devices are Sharing the Same Secrets for SDKSocket (TCP/5000).This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-321 (Use of Hard-coded Cryptographic Key) polega na tym, że wszystkie egzemplarze urządzeń BLU-IC2 i BLU-IC4 posiadają identyczne, wbudowane na stałe w firmware sekrety kryptograficzne używane do uwierzytelniania lub szyfrowania komunikacji na porcie TCP/5000 (SDKSocket). Atakujący, który uzyska znajomość tych sekretów (np. poprzez analizę firmware jednego urządzenia), może podszywać się pod autoryzowanego klienta lub odszyfrowywać ruch sieciowy dowolnego innego urządzenia tej samej linii produktowej. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący z dostępem sieciowym do portu TCP/5000 może uzyskać pełną kontrolę nad urządzeniem oraz potencjalnie nad systemami z nim powiązanymi, co obejmuje naruszenie poufności, integralności i dostępności zarówno samego urządzenia, jak i systemów z nim skomunikowanych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://azure-access.com/security-advisories). Do czasu zastosowania aktualizacji zaleca się zablokowanie dostępu do portu TCP/5000 na poziomie firewall oraz ograniczenie dostępu sieciowego do urządzeń wyłącznie do zaufanych hostów.

Kogo dotyczy

Azure-Access BLU-IC2 we wszystkich wersjach firmware do 1.19.5 włącznie oraz Azure-Access BLU-IC4 we wszystkich wersjach firmware do 1.19.5 włącznie.

Uwagi

Podatność dotyczy interfejsu SDKSocket nasłuchującego na porcie TCP/5000. Zgodnie z opisem problem obejmuje wszystkie urządzenia danej linii produktowej jednocześnie — ujawnienie sekretów z jednego urządzenia kompromituje całą flotę urządzeń BLU-IC2 i BLU-IC4.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12515CRITICAL10.0PL ✓ten sam produkt

Systemiczne błędy wewnętrzne serwera (HTTP 500) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12599 — Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4 — CRITICAL 10.0 | CVEbaza.pl