CRITICAL🇬🇧 English

CVE-2025-30139

G-Net Dashcam BB GONX: niezmienialny domyślny SSID i domyślne dane uwierzytelniające

CVSS 9.8v3.1pub. 2025-03-18upd. 2025-07-01

Kamera samochodowa G-Net Dashcam BB GONX emituje stały identyfikator sieci Wi-Fi (SSID) z domyślnymi danymi uwierzytelniającymi, których nie można zmienić. Pozwala to każdemu atakującemu znajdującemu się w pobliżu na swobodne połączenie się z siecią urządzenia bez żadnych ograniczeń.

Pokaż oryginał (EN)

An issue was discovered on G-Net Dashcam BB GONX devices. Default credentials for SSID cannot be changed. It broadcasts a fixed SSID with default credentials that cannot be changed. This allows any nearby attacker to connect to the dashcam's network without restriction. Once connected, an attacker can sniff on connected devices such as the user's smartphone. The SSID is also always broadcasted.

🤖 Analiza AI
Jak działa

Urządzenie G-Net Dashcam BB GONX stale rozgłasza swój SSID z fabrycznie ustawionymi, niezmiennymi danymi dostępowymi (CWE-1392: użycie domyślnych danych uwierzytelniających). Ponieważ użytkownik nie ma możliwości zmiany tych danych, każda osoba znajdująca się w zasięgu sieci Wi-Fi kamery może się do niej podłączyć, znając powszechnie dostępne lub łatwe do odgadnięcia domyślne hasło. Po uzyskaniu dostępu do sieci kamery atakujący może prowadzić nasłuch (sniffing) ruchu sieciowego innych urządzeń podłączonych do tej samej sieci, na przykład smartfona właściciela pojazdu.

Skutki

Atakujący w zasięgu Wi-Fi może bez autoryzacji połączyć się z siecią kamery, a następnie przechwytywać ruch sieciowy urządzeń użytkownika (np. smartfona), co może prowadzić do ujawnienia poufnych danych (naruszenie poufności, integralności i dostępności).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wydania poprawki zaleca się ograniczenie ekspozycji urządzenia (np. wyłączanie funkcji Wi-Fi kamery gdy nie jest aktywnie używana) oraz monitorowanie nieautoryzowanych połączeń z siecią kamery.

Kogo dotyczy

Urządzenia G-Net Dashcam BB GONX (firmware i hardware oznaczone jako Gnetsystem G-Onx / G-Onx Firmware) — konkretne wersje wskazane w referencjach producenta

Uwagi

Podatność została udokumentowana w repozytorium GitHub (geo-chen/GNET). Problem wynika z konstrukcji urządzenia — brak możliwości zmiany domyślnych danych uwierzytelniających jest celowym (lecz niebezpiecznym) zachowaniem firmware'u, a nie jedynie błędem konfiguracyjnym.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Gnetsystem G Onx

    HW
    Gnetsystem
    wszystkie wersje
  • Gnetsystem G Onx Firmware

    OS
    Gnetsystem
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-30140HIGH7.5ten sam produkt

An issue was discovered on G-Net Dashcam BB GONX devices. A Public Domain name is Used for the Internal Domain...

CVE-2025-30141HIGH7.5ten sam produkt

An issue was discovered on G-Net Dashcam BB GONX devices. One can Remotely Dump Video Footage and the Live Vid...

CVE-2025-30142HIGH8.1ten sam produkt

An issue was discovered on G-Net Dashcam BB GONX devices. Bypassing of Device Pairing can occur. It uses MAC a...

CVE-2025-30138MEDIUM4.6ten sam produkt

An issue was discovered on G-Net Dashcam BB GONX devices. Managing Settings and Obtaining Sensitive Data and S...