Vue d’ensemble
Un problème a été découvert dans plusieurs dispositifs d’interphone BAS-IP. En accédant à l’interface web ou à l’API de l’appareil, un pirate peut obtenir les mots de passe du serveur RTSP et du compte SIP de l’appareil.
BAS-IP classe ces vulnérabilités comme moyennes et recommande aux clients de mettre à jour les modèles BAS-IP concernés avec la dernière version du micrologiciel.
Évaluation des risques
Un adversaire potentiel a besoin d’un accès réseau à l’appareil pour exploiter les vulnérabilités. Un adversaire a besoin d’informations d’identification pour réussir à compromettre l’appareil. Le risque dépend du degré d’exposition de l’appareil. Les appareils orientés vers l’internet (par exemple, exposés par le biais d’un transfert de port du routeur) présentent un risque élevé. Les produits déployés sur un réseau local protégé présentent un risque plus faible.
Atténuation des risques
- Il est fortement recommandé de mettre à jour les modèles concernés avec le dernier micrologiciel.
- Il n’est pas recommandé d’exposer les appareils directement à l’internet (transfert de port).
Modèles concernés et firmware corrigé
Liste des modèles concernés :
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
Version corrigée du micrologiciel :
- 3.9.2