Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00494

Опубликовано: 09 янв. 2024
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость компонента TFTP Server микропрограммного обеспечения коммутаторов Korenix связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности

Вендор

Korenix Technology

Наименование ПО

Korenix JetNet5310G
Korenix JetNet4508
Korenix JetNet 4508i-w
Korenix JetNet 4508-w
Korenix JetNet 4508if-s
Korenix JetNet 4508if-m
Korenix JetNet 4508if-sw
Korenix JetNet 4508if-mw
Korenix JetNet 4508f-m
Korenix JetNet 4508f-s
Korenix JetNet 4508f-mw
Korenix JetNet 4508f-sw
Korenix JetNet 5620G-4C
Korenix JetNet 5612GP-4F
Korenix JetNet 5612G-4F
Korenix JetNet 5728G-24P-AC-2DC
Korenix JetNet 5728G-24P-AC-2DC-EU
Korenix JetNet 6528Gf-2AC-EU
Korenix JetNet 6528Gf-2AC-US
Korenix JetNet 6528Gf-2DC24
Korenix JetNet 6528Gf-2DC48
Korenix JetNet 6528Gf-AC-EU
Korenix JetNet 6528Gf-AC-US
Korenix JetNet 6628XP-4F-US
Korenix JetNet 6628X-4F-EU
Korenix JETNET 6728G-24P-AC-2DC-US
Korenix JETNET 6728G-24P-AC-2DC-EU
Korenix JetNet 6828Gf-2DC48
Korenix JetNet 6828Gf-2DC24
Korenix JetNet 6828Gf-AC-DC24-US
Korenix JetNet 6828Gf-2AC-US
Korenix JetNet 6828Gf-AC-US
Korenix JetNet 6828Gf-2AC-AU
Korenix JetNet 6828Gf-AC-DC24-EU
Korenix JetNet 6828Gf-2AC-EU
Korenix JetNet 6910G-M12 HVDC
Korenix JetNet 7310G V2
Korenix JetNet 7628XP-4F-EU
Korenix JetNet 7628X-4F-US
Korenix JetNet 7714G-M12 HVDC

Версия ПО

2.6 (Korenix JetNet5310G)
2.3 (Korenix JetNet4508)
1.3 (Korenix JetNet 4508i-w)
2.3 (Korenix JetNet 4508-w)
1.3 (Korenix JetNet 4508if-s)
1.3 (Korenix JetNet 4508if-m)
1.3 (Korenix JetNet 4508if-sw)
1.3 (Korenix JetNet 4508if-mw)
2.3 (Korenix JetNet 4508f-m)
2.3 (Korenix JetNet 4508f-s)
2.3 (Korenix JetNet 4508f-mw)
2.3 (Korenix JetNet 4508f-sw)
1.1 (Korenix JetNet 5620G-4C)
1.2 (Korenix JetNet 5612GP-4F)
1.2 (Korenix JetNet 5612G-4F)
2.1 (Korenix JetNet 5728G-24P-AC-2DC)
2.1 (Korenix JetNet 5728G-24P-AC-2DC-EU)
1.0 (Korenix JetNet 6528Gf-2AC-EU)
1.0 (Korenix JetNet 6528Gf-2AC-US)
1.0 (Korenix JetNet 6528Gf-2DC24)
1.0 (Korenix JetNet 6528Gf-2DC48)
1.0 (Korenix JetNet 6528Gf-AC-EU)
1.0 (Korenix JetNet 6528Gf-AC-US)
1.1 (Korenix JetNet 6628XP-4F-US)
1.0 (Korenix JetNet 6628X-4F-EU)
1.1 (Korenix JETNET 6728G-24P-AC-2DC-US)
1.1 (Korenix JETNET 6728G-24P-AC-2DC-EU)
1.0 (Korenix JetNet 6828Gf-2DC48)
1.0 (Korenix JetNet 6828Gf-2DC24)
1.0 (Korenix JetNet 6828Gf-AC-DC24-US)
1.0 (Korenix JetNet 6828Gf-2AC-US)
1.0 (Korenix JetNet 6828Gf-AC-US)
1.0 (Korenix JetNet 6828Gf-2AC-AU)
1.0 (Korenix JetNet 6828Gf-AC-DC24-EU)
1.0 (Korenix JetNet 6828Gf-2AC-EU)
1.0 (Korenix JetNet 6910G-M12 HVDC)
1.0 (Korenix JetNet 7310G V2)
1.1 (Korenix JetNet 7310G V2)
1.0 (Korenix JetNet 7628XP-4F-EU)
1.1 (Korenix JetNet 7628XP-4F-EU)
1.0 (Korenix JetNet 7628X-4F-US)
1.0 (Korenix JetNet 7714G-M12 HVDC)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- ограничение доступа к устройству из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- сегментирование сети с целью ограничения доступа к устройству из других подсетей.
- использование следующих команд:
Login by terminal:
Switch# configure terminal
Switch(config)# service ipscan disable
Switch(config)# tftpd disable
Switch(config)# copy running-config startup-config

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00215
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-5376

CVSS3: 8.6
nvd
около 2 лет назад

An Improper Authentication vulnerability in Korenix JetNet TFTP allows abuse of this service. This issue affects JetNet devices older than firmware version 2024/01.

github логотип

GHSA-4f22-7h3g-c989

CVSS3: 8.6
github
около 2 лет назад

An Improper Authentication vulnerability in Korenix JetNet TFTP allows abuse of this service. This issue affects JetNet devices older than firmware version 2024/01.

EPSS

Процентиль: 44%
0.00215
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2