Przegląd
Problem został wykryty w kilku urządzeniach interkomowych BAS-IP. Uzyskując dostęp do interfejsu internetowego lub API urządzenia, atakujący może uzyskać hasła do serwera RTSP urządzenia i konta SIP.
BAS-IP klasyfikuje te luki jako średnie i zaleca klientom aktualizację dotkniętych nimi modeli BAS-IP do najnowszej wersji oprogramowania układowego.
Ocena ryzyka
Potencjalny przeciwnik potrzebuje dostępu sieciowego do urządzenia w celu wykorzystania luk w zabezpieczeniach. Przeciwnik potrzebuje danych uwierzytelniających, aby skutecznie skompromitować urządzenie. Ryzyko zależy od tego, jak narażone jest urządzenie. Urządzenia z dostępem do Internetu (np. narażone na przekierowanie portu routera) są narażone na wysokie ryzyko. Produkty wdrożone w chronionej sieci lokalnej są mniej zagrożone.
Ograniczanie ryzyka
- Zdecydowanie zaleca się aktualizację dotkniętych modeli do najnowszego oprogramowania sprzętowego.
- Nie zaleca się wystawiania urządzeń bezpośrednio do Internetu (przekierowanie portów).
Modele dotknięte wadą i poprawione oprogramowanie sprzętowe
Lista modeli, których to dotyczy:
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
Poprawiona wersja oprogramowania sprzętowego:
- 3.9.2