Обзор
Обнаружена проблема в нескольких домофонных устройствах BAS-IP. Получив доступ к веб-интерфейсу или API устройства, злоумышленник может получить пароли для RTSP-сервера и SIP-аккаунта устройства.
BAS-IP классифицирует эти уязвимости как средние и рекомендует клиентам обновить затронутые модели BAS-IP до последней версии прошивки.
Оценка рисков
Потенциальному противнику необходим сетевой доступ к устройству, чтобы использовать уязвимости. Для успешной компрометации устройства противнику необходимы учетные данные. Риск зависит от степени защищенности устройства. Устройства, выходящие в Интернет (например, открытые через переадресацию портов маршрутизатора), подвержены высокому риску. Продукты, развернутые в защищенной локальной сети, подвержены меньшему риску.
Снижение рисков
- Настоятельно рекомендуется обновить затронутые модели до последней версии прошивки.
- Не рекомендуется напрямую подключать устройства к Интернету (переадресация портов).
Затронутые модели и исправленные прошивки
Список затронутых моделей:
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
Исправленная версия прошивки:
- 3.9.2