PT-2022-25422 · Wavlink · Wavlink Quantum D4G
Corey Hartman
·
Publicado
2022-09-13
·
Atualizado
2022-09-19
·
CVE-2022-40621
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
WAVLINK Quantum D4G (WN531G3), versões M31G3.V5030.200325 e anteriores
Descrição
O problema surge porque o WAVLINK Quantum D4G (WN531G3) se comunica via HTTP em vez de HTTPS, e seu mecanismo de hash não depende de uma chave fornecida pelo servidor. Isso permite que um invasor com acesso de rede suficiente capture a senha com hash de um usuário conectado e a utilize em um ataque clássico do tipo Pass-the-Hash.
Recomendações
Para as versões M31G3.V5030.200325 e anteriores do WAVLINK Quantum D4G (WN531G3), considere desativar a comunicação HTTP e implementar HTTPS para criptografar os dados em trânsito. Além disso, restrinja o acesso à rede para minimizar o risco de exploração. Como solução temporária, considere implementar um mecanismo de autenticação alternativo que dependa de uma chave fornecida pelo servidor até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wavlink Quantum D4G