CRITICAL🇬🇧 English

CVE-2026-50101

Naxclow: nierotujące poświadczenia relay umożliwiają trwały nieautoryzowany dostęp

CVSS 9.2v4.0pub. 2026-06-12upd. 2026-06-16

Urządzenia Naxclow wykorzystują stałe, nigdy nierotujące poświadczenia relay przypisane do każdego urządzenia z osobna, które są ponownie wydawane przy każdym uruchomieniu systemu. Ponieważ poświadczenia te pozostają ważne bezterminowo i nie mogą być unieważnione przez uprawnionego właściciela, każda osoba, która je uzyska, może utrzymywać trwały dostęp do kanału relay urządzenia.

Pokaż oryginał (EN)

Naxclow devices use a server-side, per-device relay credential that never rotates and is re-issued to the device on each boot. Because this credential remains valid indefinitely and cannot be reset or revoked by the legitimate owner, any party that obtains it through any exposure path can maintain persistent access to the device’s relay channel. This enables long-term impersonation or interception, even after factory resets or re-onboarding.

🤖 Analiza AI
Jak działa

Na każdym urządzeniu Naxclow generowane jest poświadczenie relay po stronie serwera, które jest przypisane do konkretnego urządzenia i ponownie wydawane przy każdym rozruchu. Poświadczenie to nigdy nie wygasa, nie jest rotowane oraz nie może zostać zresetowane ani odwołane przez właściciela urządzenia. Oznacza to, że każda strona, która wejdzie w posiadanie tego poświadczenia dowolną drogą (np. poprzez przechwycenie komunikacji, wyciek danych lub fizyczny dostęp do urządzenia), może korzystać z niego bezterminowo. Co istotne, nawet przywrócenie urządzenia do ustawień fabrycznych ani ponowne wdrożenie (re-onboarding) nie unieważnia przechwyconego poświadczenia.

Skutki

Atakujący, który zdobędzie poświadczenie relay, może długotrwale podszywać się pod urządzenie lub przechwytywać jego komunikację, zachowując trwały dostęp do kanału relay nawet po resecie fabrycznym lub ponownej konfiguracji urządzenia przez właściciela.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie aktualizacji w ramach advisory CISA ICS ICSA-26-162-02 (https://www.cisa.gov/news-events/ics-advisories/icsa-26-162-02) oraz wdrożenie mechanizmu rotacji i odwoływania poświadczeń relay po stronie serwera, jeśli producent udostępni odpowiednią aktualizację firmware lub konfiguracji.

Kogo dotyczy

Urządzenia Naxclow — szczegółowe wersje wskazane w referencjach producenta (advisory ICSA-26-162-02).

Uwagi

Podatność dotyczy środowisk OT/ICS — advisory opublikowane przez CISA w ramach serii Industrial Control Systems Advisories (ICSA-26-162-02). CWE-262 odnosi się do braku mechanizmu wygasania poświadczeń (Not Using Password Aging).

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje