Urządzenia Naxclow wykorzystują stałe, nigdy nierotujące poświadczenia relay przypisane do każdego urządzenia z osobna, które są ponownie wydawane przy każdym uruchomieniu systemu. Ponieważ poświadczenia te pozostają ważne bezterminowo i nie mogą być unieważnione przez uprawnionego właściciela, każda osoba, która je uzyska, może utrzymywać trwały dostęp do kanału relay urządzenia.
▸ Pokaż oryginał (EN)
Naxclow devices use a server-side, per-device relay credential that never rotates and is re-issued to the device on each boot. Because this credential remains valid indefinitely and cannot be reset or revoked by the legitimate owner, any party that obtains it through any exposure path can maintain persistent access to the device’s relay channel. This enables long-term impersonation or interception, even after factory resets or re-onboarding.
Na każdym urządzeniu Naxclow generowane jest poświadczenie relay po stronie serwera, które jest przypisane do konkretnego urządzenia i ponownie wydawane przy każdym rozruchu. Poświadczenie to nigdy nie wygasa, nie jest rotowane oraz nie może zostać zresetowane ani odwołane przez właściciela urządzenia. Oznacza to, że każda strona, która wejdzie w posiadanie tego poświadczenia dowolną drogą (np. poprzez przechwycenie komunikacji, wyciek danych lub fizyczny dostęp do urządzenia), może korzystać z niego bezterminowo. Co istotne, nawet przywrócenie urządzenia do ustawień fabrycznych ani ponowne wdrożenie (re-onboarding) nie unieważnia przechwyconego poświadczenia.
Atakujący, który zdobędzie poświadczenie relay, może długotrwale podszywać się pod urządzenie lub przechwytywać jego komunikację, zachowując trwały dostęp do kanału relay nawet po resecie fabrycznym lub ponownej konfiguracji urządzenia przez właściciela.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie aktualizacji w ramach advisory CISA ICS ICSA-26-162-02 (https://www.cisa.gov/news-events/ics-advisories/icsa-26-162-02) oraz wdrożenie mechanizmu rotacji i odwoływania poświadczeń relay po stronie serwera, jeśli producent udostępni odpowiednią aktualizację firmware lub konfiguracji.
Urządzenia Naxclow — szczegółowe wersje wskazane w referencjach producenta (advisory ICSA-26-162-02).
Podatność dotyczy środowisk OT/ICS — advisory opublikowane przez CISA w ramach serii Industrial Control Systems Advisories (ICSA-26-162-02). CWE-262 odnosi się do braku mechanizmu wygasania poświadczeń (Not Using Password Aging).
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X