Vulnerabilidad en Ceragon FibeAir IP-10 (CVE-2017-9137)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

21/05/2017

Última modificación:

20/04/2025

Descripción

Las radios inalámbricas Ceragon FibeAir IP-10 hasta la versión 7.2.0, presentan una contraseña por defecto mateidu para la cuenta mateidu (una cuenta de usuario oculta establecida por el proveedor). Esta cuenta puede ser accedida por medio de la interfaz web y SSH. En la interfaz web, esto simplemente otorga a un atacante acceso de solo lectura a la configuración del dispositivo. Sin embargo, cuando se usa SSH, esto le da a un atacante acceso a un shell de Linux. NOTA: el proveedor ha comentado "El usuario de mateidu es un usuario conocido, que es mencionado en la Guía de Usuario de FibeAir IP-10. Los usuarios están instruidos a cambiar la contraseña de usuario de mateidu. Cambiando la contraseña de usuario se resuelve completamente la vulnerabilidad".

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

7.30

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico