Pregled
U nekoliko BAS-IP portafonskih uređaja otkriven je problem. Pristupom web sučelju ili API-ju uređaja, napadač može dobiti lozinke za RTSP poslužitelj uređaja i SIP račun.
BAS-IP klasificira ove ranjivosti kao srednje i preporučuje korisnicima da nadograde pogođene BAS-IP modele na najnoviju verziju firmvera.
Procjena rizika
Potencijalni protivnik treba mrežni pristup uređaju kako bi iskoristio ranjivosti. Protivnik zahtijeva vjerodajnice za uspješno kompromitiranje uređaja. Rizik ovisi o tome koliko je uređaj izložen. Uređaji okrenuti prema internetu (npr. izloženi putem port-forwarda usmjerivača) izloženi su velikom riziku. Proizvodi postavljeni na zaštićenoj lokalnoj mreži izloženi su manjem riziku.
Ublažavanje rizika
- Strogo se preporučuje nadogradnja zahvaćenih modela na najnoviji firmware.
- Ne preporučuje se izlaganje uređaja izravno internetu (prosljeđivanje portova).
Pogođeni modeli i zakrpani firmware
Popis zahvaćenih modela:
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
Zakrpana verzija firmvera:
- 3.9.2