VU#613753 : Ruckus Virtual Sma... Note

VU#613753 : Ruckus Virtual SmartZone (vSZ) et Ruckus Network Director (RND) contiennent de multiples vulnérabilités

Plusieurs vulnérabilités ont été identifiées dans les produits de gestion de Ruckus Wireless, notamment Virtual SmartZone (vSZ) et Network Director (RND). Ces vulnérabilités comprennent le contournement d'authentification, les secrets codés en dur, la lecture arbitraire de fichiers et l'exécution de code à distance sans authentification. Ces problèmes peuvent permettre un compromis total des environnements gérés par le logiciel affecté. Ruckus Wireless fournit des appareils réseau pour les lieux comportant de nombreux points d'extrémité connectés à Internet. Virtual SmartZone est un logiciel de contrôle de réseau sans fil capable de gérer des réseaux à grande échelle. Ruckus Network Director est un logiciel permettant de gérer plusieurs clusters vSZ sur un seul réseau. Les vulnérabilités identifiées comprennent des secrets codés en dur, la lecture arbitraire de fichiers et l'exécution de code à distance sans authentification. Ces vulnérabilités peuvent être enchaînées pour créer des attaques qui contournent les contrôles de sécurité. Aucune correction n'a été fournie par le fournisseur, et il est conseillé aux administrateurs réseau de limiter l'accès aux environnements de gestion sans fil pour atténuer les risques. Les vulnérabilités ont été signalées par Noam Moshe de Claroty Team82 et documentées par CERT/CC.