CVE-2023-25717

Суть уязвимости

CVE-2023-25717 представляет собой критическую уязвимость в компоненте веб-служб (Web Services) программного обеспечения точек доступа Ruckus Wireless. Проблема вызвана недостаточной проверкой входных данных и отсутствием механизмов защиты от подделки межсайтовых запросов (CSRF).

Эксплуатация данной уязвимости позволяет неавторизованному злоумышленнику при наличии сетевого доступа к веб-интерфейсу устройства выполнить произвольный код (RCE) с системными привилегиями или инициировать несанкционированные действия от имени администратора. Уязвимости подвержены контроллеры ZoneDirector, SmartZone, а также точки доступа, работающие в автономном режиме (Solo AP).

Как исправить

Основным способом устранения уязвимости является обновление микропрограммного обеспечения (firmware) до версий, в которых данная ошибка исправлена. Необходимо загрузить соответствующие патчи с официального портала поддержки Ruckus (Ruckus Support Portal).

Для SmartZone (SZ/vSZ): Обновите систему до версий 6.1.1 или выше.

Для ZoneDirector (ZD): Обновите систему до версий 10.5.1 MR1 Patch 2 или выше.

Для Solo AP: Обновите прошивку до версии 118.2 или выше.

Процесс обновления через CLI (пример для Solo AP):

fw update ftp://<server_ip>/<path_to_image>

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие компенсирующие меры контроля для снижения риска эксплуатации:

1. Отключите веб-интерфейс управления на точках доступа, если управление осуществляется через контроллер.

no set http
no set https

1. Ограничьте доступ к веб-интерфейсу управления (порты 80 и 443) с помощью списков контроля доступа (ACL), разрешив подключения только из доверенных сегментов сети управления.

2. Используйте CLI (SSH) для администрирования вместо Web UI, предварительно убедившись, что HTTP/HTTPS службы выключены.

3. Настройте изоляцию клиентов (Client Isolation) на беспроводных сетях, чтобы предотвратить попытки эксплуатации уязвимости со стороны скомпрометированных беспроводных устройств внутри сети.