Katalog CVE

CVE-2024-40762

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wykorzystanie kryptograficznie słabego generatora liczb pseudolosowych (PRNG) w generatorze tokenów uwierzytelniających SSLVPN SonicOS, który w niektórych przypadkach może być przewidywalny przez atakującego, co potencjalnie prowadzi do ominięcia uwierzytelnienia.

Ocena ryzyka

Atakujący może wykorzystać przewidywalność tokenów uwierzytelniających do uzyskania dostępu do systemu bez autoryzacji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację oprogramowania SonicOS do najnowszej wersji, która eliminuje wykorzystanie słabego PRNG oraz wdrożenie dodatkowych mechanizmów zabezpieczających w procesie uwierzytelniania.

Oryginalny opis (angielski, źródło NVD)

Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) in the SonicOS SSLVPN authentication token generator that, in certain cases, can be predicted by an attacker potentially resulting in authentication bypass.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS