CWE-287:不當驗證
Teltonika 4.10.0 之前的遠端管理系統版本使用裝置序號和 MAC 位址,從使用者角度來識別裝置,用於裝置索賠,並從裝置角度來驗證。 如果攻擊者取得裝置的序號和 MAC 位址,他們可以驗證裝置身分並竊取裝置的通訊憑證。 這可能會允許攻擊者利用新註冊裝置內的管理選項,將任意命令執行作為根。
Team82 致力於以協調、及時的方式私下向受影響的供應商報告漏洞,以確保全球網路安全生態系統的安全。 為與供應商和研究社群互動, Team82 邀請您下載並分享我們的協調披露政策。 Team82 當我們發現產品和服務中的漏洞時,將遵守此報告和披露流程。
