СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
23.01.2024

Уязвимость BDU:2024-02141

Уязвимость BDU:2024-02141

Идентификатор: BDU:2024-02141.

Наименование уязвимости: Уязвимость микропрограммного обеспечения маршрутизаторов GL.iNet GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M, GL-B1300, связанная с обходом аутентификации, позволяющая нарушителю получить несанкционированный доступ к веб-интерфейсу маршрутизатора.

Описание уязвимости: Уязвимость микропрограммного обеспечения маршрутизаторов GL.iNet GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M, GL-B1300 связана с обходом аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к веб-интерфейсу маршрутизатора
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-A1300 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AX1800 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AXT1800 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT3000 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT2500 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT6000 4.5.0 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT1300 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT300N-V2 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR750S 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR300M 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-B1300 4.3.7 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 23.01.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению:
Использование рекомендаций:
Для GL-B1300:
https://dl.gl-inet.com/router/b1300/

Для GL-MT300N-V2:
https://dl.gl-inet.com/router/mt300n-v2/

Для GL-A1300:
https://dl.gl-inet.com/router/a1300/

Для GL-AX1800:
https://dl.gl-inet.com/router/ax1800/

Для GL-AXT1800:
https://dl.gl-inet.com/router/axt1800/

Для GL-MT3000:
https://dl.gl-inet.com/router/mt3000/

Для GL-MT2500:
https://dl.gl-inet.com/router/mt2500/

Для GL-MT6000:
https://dl.gl-inet.com/router/mt6000/

Для GL-MT1300:
https://dl.gl-inet.com/router/mt1300/

Для GL-AR750S:
https://dl.gl-inet.com/router/ar750s/

Для GL-AR300M:
https://dl.gl-inet.com/router/ar300m/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-46453.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://packetstormsecurity.com/files/177485/GliNet-4.x-Authentication-Bypass.html
https://github.com/0x1x02/GLiNet-Router-Auth-Bypass
https://advisories.checkpoint.com/defense/advisories/public/2024/cpai-2023-1564.html

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: