CVE-2024-40762
KrytyczneStreszczenie
Wykorzystanie kryptograficznie słabego generatora liczb pseudolosowych (PRNG) w generatorze tokenów uwierzytelniających SSLVPN SonicOS, który w niektórych przypadkach może być przewidywalny przez atakującego, co potencjalnie prowadzi do ominięcia uwierzytelnienia.
Ocena ryzyka
Atakujący może wykorzystać przewidywalność tokenów uwierzytelniających do uzyskania dostępu do systemu bez autoryzacji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację oprogramowania SonicOS do najnowszej wersji, która eliminuje wykorzystanie słabego PRNG oraz wdrożenie dodatkowych mechanizmów zabezpieczających w procesie uwierzytelniania.
Oryginalny opis (angielski, źródło NVD)
Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) in the SonicOS SSLVPN authentication token generator that, in certain cases, can be predicted by an attacker potentially resulting in authentication bypass.

