Visión general
Se ha descubierto un problema en varios dispositivos de intercomunicación BAS-IP. Accediendo a la interfaz web o a la API del dispositivo, un atacante puede obtener las contraseñas del servidor RTSP y de la cuenta SIP del dispositivo.
BAS-IP clasifica estas vulnerabilidades como medias y recomienda a los clientes que actualicen los modelos BAS-IP afectados a la última versión de firmware.
Evaluación de riesgos
Un adversario potencial necesita acceso de red al dispositivo para explotar las vulnerabilidades. Un adversario necesita credenciales para comprometer con éxito el dispositivo. El riesgo depende de lo expuesto que esté el dispositivo. Los dispositivos orientados a Internet (por ejemplo, expuestos a través del reenvío de puertos del router) presentan un riesgo elevado. Los productos desplegados en una red local protegida presentan un riesgo menor.
Reducción de riesgos
- Se recomienda encarecidamente actualizar los modelos afectados al firmware más reciente.
- No se recomienda exponer los dispositivos directamente a Internet (reenvío de puertos).
Modelos afectados y firmware parcheado
Lista de modelos afectados:
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
Versión de firmware parcheada:
- 3.9.2