CVE-2022-28377

Verizon 5G Home LVSKIHP Unidade Interna (IDU) versão 3.4.66.162

Verizon 5G Home LVSKIHP Unidade Externa (ODU) versão 3.33.101.0

O problema diz respeito ao uso de um nome de usuário e senha estáticos para controle de acesso nos terminais RPC do CRTC e do ODU. Essa senha pode ser gerada usando um binário incluído no firmware, obtendo-se o endereço MAC da interface Ethernet base do IDU e modificando o arquivo /etc/device info para incluir a string DEVICE MANUFACTURER=‘Wistron NeWeb Corp.’. O endpoint vulnerável está relacionado ao arquivo /etc/init.d/wnc factoryssidkeypwd na IDU.

Para a Verizon 5G Home LVSKIHP InDoorUnit (IDU) versão 3.4.66.162, considere desativar o acesso aos endpoints CRTC e ODU RPC até que uma correção esteja disponível.

Para a Verizon 5G Home LVSKIHP OutDoorUnit (ODU) versão 3.33.101.0, restrinja o acesso ao endpoint RPC da ODU para minimizar o risco de exploração.

Como solução alternativa temporária, evite usar o nome de usuário e a senha da conta estática para controle de acesso nos dispositivos afetados até que o problema seja resolvido.