Er is een kritieke kwetsbaarheid ontdekt in Brocade ASCG-systemen voorafgaand aan versie 3.3.0, waarbij JSON Web Tokens (JWT) in logbestanden worden vastgelegd. Aanvallers met toegang tot deze logbestanden kunnen de onvercijferde tokens extraheren, met mogelijke gevolgen als ongeautoriseerde toegang en sessie-overname.
Gezien de hoge impact en gemakkelijke uitvoerbaarheid van deze kwetsbaarheid is een snelle reactie noodzakelijk om de risico’s te minimaliseren.
Overzicht
Brocade ASCG voor versie 3.3.0 logt JSON Web Tokens (JWT) in logbestanden zonder versleuteling. Dit stelt kwaadwillenden in staat om deze tokens te misbruiken voor aanvallen als sessiekaping en vertrouwelijke gegevensonttrekking.
Aanbevelingen
- Werk Brocade ASCG bij naar versie 3.3.0 of hoger om het vastleggen van JWT in logbestanden te voorkomen.
- Bevorder goede loggingpraktijken door logs regelmatig te controleren op inbreuken en verdachte activiteiten.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6391?
Het betreft een kwetsbaarheid die JSON Web Tokens onvercijferd in logbestanden vastlegt, met risico’s zoals ongeautoriseerde toegang.
Welke systemen zijn kwetsbaar voor CVE-2025-6391?
Brocade ASCG versies voor 3.3.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aanbevolen Brocade ASCG naar versie 3.3.0 of hoger bij te werken.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeoorloofd toegang krijgen tot sessies en gevoelige, in de logbestanden vastgelegde gegevens inzien.
