CWE-1394: Uso de clave criptográfica predeterminada
RCE no autenticada en SSH debido a claves públicas/privadas predeterminadas codificadas. Ruckus vSZ tiene un usuario incorporado con todos los mismos privilegios que root. Este usuario también tiene claves RSA públicas y privadas predeterminadas en su directorio /home/$USER/.ssh/. Cualquier persona con un dispositivo Ruckus también tendría esta clave privada y podría triunfar como esta y luego tener permisos a nivel raíz.
El proveedor no ha suministrado parches en este momento. Para mitigar el riesgo, los administradores de red deben limitar el acceso a los entornos de administración inalámbrica que utilizan estos productos afectados, lo que permite que un conjunto limitado de usuarios de confianza y sus clientes autenticados administren la infraestructura de Ruckus a través de un protocolo seguro como HTTPS o SSH.
CVE-2025-44954
Redes de Ruckus
SmartZone virtual
10
Team82 se compromete a informar de manera privada las vulnerabilidades a los proveedores afectados de manera coordinada y oportuna para garantizar la seguridad del ecosistema de ciberseguridad en todo el mundo. Para interactuar con el proveedor y la comunidad de investigación, Team82 lo invita a descargar y compartir nuestra Política de Divulgación Coordinada. Team82 cumplirá con este proceso de informe y divulgación cuando descubramos vulnerabilidades en productos y servicios.
Team82 también ha puesto a disposición su Clave pública de PGP para que el proveedor y la comunidad de investigación intercambien de manera segura la información de vulnerabilidad e investigación con nosotros.
