Tổng quan
Một vấn đề đã được phát hiện trong một số thiết bị liên lạc nội bộ BAS-IP. Bằng cách truy cập vào giao diện web hoặc API của thiết bị, kẻ tấn công có thể lấy được mật khẩu cho máy chủ RTSP và tài khoản SIP của thiết bị.
BAS-IP phân loại các lỗ hổng này là trung bình và khuyến nghị khách hàng nâng cấp các mô hình BAS-IP bị ảnh hưởng lên phiên bản chương trình cơ sở mới nhất.
Đánh giá rủi ro
Kẻ tấn công tiềm ẩn cần có quyền truy cập mạng vào thiết bị để khai thác các lỗ hổng. Kẻ tấn công yêu cầu thông tin xác thực để xâm nhập thành công vào thiết bị. Rủi ro phụ thuộc vào mức độ thiết bị bị lộ. Thiết bị kết nối Internet (ví dụ: bị lộ qua cổng chuyển tiếp bộ định tuyến) có rủi ro cao. Các sản phẩm được triển khai trên mạng cục bộ được bảo vệ có rủi ro thấp hơn.
Giảm thiểu rủi ro
- Chúng tôi khuyến nghị mạnh mẽ nâng cấp các mẫu bị ảnh hưởng lên chương trình cơ sở mới nhất.
- Không khuyến khích để các thiết bị tiếp xúc trực tiếp với Internet (chuyển tiếp cổng).
Các mẫu bị ảnh hưởng và phần mềm đã vá
Danh sách các mẫu bị ảnh hưởng:
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
Phiên bản phần mềm đã vá:
- 3.9.2