概要
複数の BAS-IP インターホンデバイスに問題が発見されました。 デバイスのウェブインターフェースまたはAPIにアクセスすることで、攻撃者はデバイスのRTSPサーバーとSIPアカウントのパスワードを取得することができます。
BAS-IPはこれらの脆弱性を中程度と分類し、影響を受けるBAS-IPモデルを最新のファームウェアバージョンにアップグレードすることを推奨している。
リスク評価
潜在的な敵は、脆弱性を悪用するためにデバイスへのネットワークアクセスを必要とする。 敵対者は、デバイスの侵害を成功させるために認証情報を必要とする。 リスクは、デバイスがどの程度露出しているかによって異なる。 インターネットに面しているデバイス(例えば、ルーターのポートフォワード経由で露出している)はリスクが高い。 保護されたローカルネットワーク上に配置された製品は、リスクが低い。
リスク軽減
- 対象となるモデルは、最新のファームウェアにアップグレードすることを強くお勧めします。
- デバイスを直接インターネットに公開する(ポートフォワーディング)ことは推奨されません。
対象モデルとパッチ適用済みファームウェア
該当モデルリスト
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
パッチされたファームウェアのバージョン:
- 3.9.2