CVE-2024-36389 — 神龙十问 AI 深度分析摘要

🚨 **本质**：MileSight DeviceHub 存在**安全特征问题**。 🔥 **后果**：攻击者可**绕过身份验证**，直接控制平台，导致**机密性、完整性、可用性**全面崩溃（CVSS 评分极高）。

🔍 **CWE**：CWE-330（使用不正确的随机数生成器）。 📉 **缺陷点**：**随机值不足**。系统生成的随机数可预测或重复，导致安全令牌/会话被伪造。

🏢 **厂商**：MileSight（中国星纵物联）。 📦 **产品**：**DeviceHub** 平台。 🌐 **场景**：LoRaWAN® 部署的一体化套件解决方案。

👑 **权限**：无需认证即可获取**最高权限**（PR:N）。 💾 **数据**：可完全读取、修改或删除所有数据（C:H, I:H）。 ⚡ **影响**：可彻底瘫痪 IoT 网络部署（A:H）。

🚪 **利用门槛**：**极低**。 ✅ **无需**：用户交互（UI:N）、特权要求（PR:N）。 🌍 **范围**：网络远程即可利用（AV:N, AC:L）。

📜 **Exp/PoC**：数据中 **pocs 为空**，暂无公开现成代码。 🌍 **在野利用**：未提及。但鉴于 CVSS 满分潜力，需高度警惕。

🔎 **自查**：检查 MileSight DeviceHub 部署环境。 🛡️ **检测**：监控异常的身份验证请求，特别是涉及**随机数/Token**生成的环节。 📡 **资产**：确认是否运行受影响的 LoRaWAN 网关或 Hub 设备。

📅 **发布时间**：2024-06-02。 🔧 **状态**：数据中**未提供**官方补丁链接或具体缓解措施。建议立即访问 MileSight 官网或 Gov.il 参考链接查询最新补丁。

🛡️ **临时规避**： 1. **网络隔离**：将 DeviceHub 置于内网，禁止公网直接访问。 2. **访问控制**：配置防火墙/WAF，严格限制源 IP。 3. **监控**：加强日志审计，发现异常登录立即阻断。

🔴 **优先级**：**紧急 (Critical)**。 ⚡ **理由**：CVSS 向量显示为 **AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H**，属于**远程、无需认证、高影响**漏洞。 🚀 **行动**：立即隔离受影响系统，优先申请官方补丁。