CVE-2023-25187 in Airscale ASIKA Single RAN
Zusammenfassung
von VulDB • 14.05.2026
Es wurde ein Problem bei NOKIA Airscale ASIKA Single RAN-Geräten vor Version 21B entdeckt. Die Inbetriebnahmeverfahren (Commissioning) von Nokia Single RAN ändern die werkseitig installierten, standardmäßigen SSH-Public-/Private-Key-Werte, die für einen bestimmten Netzbetreiber spezifisch sind, nicht. Infolgedessen verwendet der interne BTS-Netzwerk-SSH-Server des CSP (standardmäßig deaktiviert) weiterhin die standardmäßigen SSH-Public-/Private-Key-Werte. Diese Schlüssel gewähren keinen Zugriff auf die BTS, da die Authentifizierung des Dienstbenutzers auf SSH-Ebene benutzername/passwortbasiert ist. Die werkseitig von Nokia installierten Standard-SSH-Schlüssel sollen während der BTS-Deployment-Inbetriebnahmephase von operator-spezifischen Werten geändert werden. Vor der Veröffentlichung von Version 21B enthielten die BTS-Inbetriebnahmehandbücher jedoch keine Anweisungen zum Ändern der Standard-SSH-Schlüssel (auf BTS-operator-spezifische Werte). Dies führt zu der Möglichkeit, dass böswilliges Betriebspersonal (innerhalb eines CSP-Netzwerks) versucht, während der Momente, in denen SSH für Nokia-Servicepersonal zur Durchführung von Fehlerbehebungsaktivitäten aktiviert ist, eine MITM-Exploitation des Zugriffs auf den BTS-Dienstbenutzer durchzuführen.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.