Overzicht
Er is een probleem ontdekt in verschillende BAS-IP intercomapparaten. Door toegang te krijgen tot de webinterface of API van het apparaat kan een aanvaller wachtwoorden verkrijgen voor de RTSP-server en het SIP-account van het apparaat.
BAS-IP classificeert deze kwetsbaarheden als gemiddeld en raadt klanten aan om de getroffen BAS-IP-modellen te upgraden naar de nieuwste firmwareversie.
Risicobeoordeling
Een potentiële tegenstander heeft netwerktoegang tot het apparaat nodig om de kwetsbaarheden uit te buiten. Een tegenstander heeft referenties nodig om het apparaat met succes te compromitteren. Het risico hangt af van de blootstelling van het apparaat. Apparaten die op het internet zijn gericht (bijv. blootgesteld via router port-forward) lopen een hoog risico. Producten die worden ingezet op een beschermd lokaal netwerk lopen minder risico.
Risicobeperking
- Het wordt sterk aangeraden om aangetaste modellen te upgraden naar de nieuwste firmware.
- Het wordt niet aanbevolen om apparaten rechtstreeks bloot te stellen aan het internet (port-forwarding).
Betreffende modellen en gepatchte firmware
Lijst met betrokken modellen:
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
Gepatchte firmwareversie:
- 3.9.2