Podatność polega na stosowaniu domyślnego klucza kryptograficznego (CWE-1394), co umożliwia atakującemu zdalne naruszenie poufności i integralności danych bez uwierzytelnienia. Wysoki wynik CVSS 9.1 wskazuje na poważne ryzyko dla systemów, których dotyczy.
▸ Pokaż oryginał (EN)
Use of Default Cryptographic Key (CWE-1394)
Produkt wykorzystuje wbudowany, z góry znany klucz kryptograficzny zamiast unikalnego klucza generowanego podczas instalacji lub pierwszego uruchomienia. Atakujący posiadający wiedzę o tym domyślnym kluczu może deszyfrować chronione dane, podpisywać własne komunikaty lub tokeny w sposób akceptowany przez system. Wektor ataku sieciowy bez wymagań dotyczących uwierzytelnienia lub interakcji użytkownika oznacza, że exploit może być przeprowadzony zdalnie i w pełni automatycznie.
Atakujący może uzyskać nieautoryzowany dostęp do chronionych informacji (naruszenie poufności) oraz zmodyfikować lub sfałszować dane uwierzytelniające, tokeny bądź inne chronione zasoby (naruszenie integralności).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo należy niezwłocznie zmienić wszelkie domyślne klucze kryptograficzne na unikalne wartości wygenerowane losowo, a tam gdzie to możliwe — wymusić rotację kluczy i unieważnienie sesji opartych na skompromitowanych kluczach.
Wersje wskazane w referencjach producenta
Szczegółowe informacje o podatności są publikowane przez izraylski CERT (gov.il). Opis producenta nie precyzuje nazwy ani wersji produktu — należy śledzić aktualizacje w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N