Übersicht
In mehreren BAS-IP-Sprechanlagen wurde ein Problem entdeckt. Durch den Zugriff auf die Webschnittstelle oder API des Geräts kann ein Angreifer die Passwörter für den RTSP-Server und das SIP-Konto des Geräts erlangen.
BAS-IP stuft diese Schwachstellen als mittelschwer ein und empfiehlt den Kunden, die betroffenen BAS-IP-Modelle auf die neueste Firmware-Version zu aktualisieren.
Risikobewertung
Ein potenzieller Angreifer benötigt Netzwerkzugriff auf das Gerät, um die Schwachstellen auszunutzen. Ein Angreifer benötigt Anmeldedaten, um das Gerät erfolgreich zu kompromittieren. Das Risiko hängt davon ab, wie exponiert das Gerät ist. Geräte, die mit dem Internet verbunden sind (z. B. über einen Router mit Port-Weiterleitung), sind einem hohen Risiko ausgesetzt. Für Produkte, die in einem geschützten lokalen Netzwerk eingesetzt werden, besteht ein geringeres Risiko.
Risikominderung
- Es wird dringend empfohlen, betroffene Modelle auf die neueste Firmware zu aktualisieren.
- Es wird nicht empfohlen, Geräte direkt mit dem Internet zu verbinden (Port-Weiterleitung).
Betroffene Modelle und gepatchte Firmware
Liste betroffener Modelle:
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
Gepatchte Firmware-Version:
- 3.9.2