CRITICAL🇬🇧 English

CVE-2025-12601

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVSS 10.0v4.0pub. 2025-11-01upd. 2025-11-10

Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 w wersjach do 1.19.5 są podatne na atak typu Denial of Service oparty na technice SlowLoris. Atakujący bez żadnego uwierzytelnienia może zdalnie spowodować niedostępność urządzenia.

Pokaż oryginał (EN)

Denial of Service Due to SlowLoris.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

🤖 Analiza AI
Jak działa

Technika SlowLoris polega na utrzymywaniu dużej liczby połączeń HTTP otwartych przez możliwie długi czas poprzez powolne wysyłanie nagłówków żądań. Serwer HTTP na podatnym urządzeniu wyczerpuje pulę dostępnych połączeń i przestaje odpowiadać na nowe żądania. Podatność nie wymaga uwierzytelnienia ani żadnej interakcji ze strony użytkownika, a atak można przeprowadzić zdalnie przez sieć (AV:N, AC:L).

Skutki

Atakujący może całkowicie uniemożliwić działanie usług sieciowych na urządzeniu (Denial of Service), co w środowiskach kontroli dostępu może skutkować brakiem możliwości zarządzania urządzeniem oraz potencjalnie zakłócić funkcje kontroli fizycznego dostępu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzania urządzeń wyłącznie do zaufanych hostów (np. poprzez firewall lub segmentację sieci).

Kogo dotyczy

Azure-Access BLU-IC2 w wersjach do 1.19.5 włącznie oraz Azure-Access BLU-IC4 w wersjach do 1.19.5 włącznie (wraz z odpowiednim firmware).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje

Powiązane podatności

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12515CRITICAL10.0PL ✓ten sam produkt

Systemiczne błędy wewnętrzne serwera (HTTP 500) w Azure-Access BLU-IC2 i BLU-IC4