Огляд
Виявлено проблему в декількох домофонних пристроях BAS-IP. Отримавши доступ до веб-інтерфейсу або API пристрою, зловмисник може отримати паролі до RTSP-сервера та SIP-акаунта пристрою.
BAS-IP класифікує ці вразливості як середні та рекомендує клієнтам оновити відповідні моделі BAS-IP до останньої версії прошивки.
Оцінка ризиків
Потенційному зловмиснику потрібен мережевий доступ до пристрою, щоб скористатися вразливостями. Щоб успішно скомпрометувати пристрій, зловмиснику потрібні облікові дані. Ризик залежить від того, наскільки вразливим є пристрій. Пристрої, підключені до Інтернету (наприклад, через переадресацію портів маршрутизатора), піддаються високому ризику. Продукти, розгорнуті в захищеній локальній мережі, мають менший ризик.
Зниження ризиків
- Наполегливо рекомендуємо оновити постраждалі моделі до останньої версії прошивки.
- Не рекомендується піддавати пристрої прямому підключенню до Інтернету (переадресація портів).
Постраждалі моделі та виправлені прошивки
Список постраждалих моделей:
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
Виправлена версія прошивки:
- 3.9.2