Сетевой контроллер Ubiquiti UniFi до версии 5.10.12 (за исключением версии 5.6.42), прошивка UAP до версии 4.0.6, UAP-AC, UAP-AC v2 и UAP-AC Outdoor прошивка до версии 3.8.17, прошивка USW до версии 4.0.6, прошивка USG до версии 4.4.34 использует шифрование AES-CBC для связи между устройством и контроллером, которое содержит криптографические уязвимости, которые позволяют злоумышленникам восстанавливать ключи шифрования из захваченного трафика. Злоумышленники, имеющие доступ к соседней сети, могут перехватить достаточный объем зашифрованного трафика и использовать уязвимости режима AES-CBC для получения ключей шифрования, что обеспечивает несанкционированный контроль и управление сетевыми устройствами.
Показать оригинальное описание (EN)
Ubiquiti UniFi Network Controller prior to 5.10.12 (excluding 5.6.42), UAP FW prior to 4.0.6, UAP-AC, UAP-AC v2, and UAP-AC Outdoor FW prior to 3.8.17, USW FW prior to 4.0.6, USG FW prior to 4.4.34 uses AES-CBC encryption for device-to-controller communication, which contains cryptographic weaknesses that allow attackers to recover encryption keys from captured traffic. Attackers with adjacent network access can capture sufficient encrypted traffic and exploit AES-CBC mode vulnerabilities to derive the encryption keys, enabling unauthorized control and management of network devices.
Характеристики атаки
Последствия
Строка CVSS v4.0