Aviso de Vulnerabilidad en Cámaras Acti

Afectadas las cámaras ACTi de la series D, B, I, y la serie E

Descripción del Problema de ACTi

Según el reportero, múltiples dispositivos, incluyendo los Modelos ACTi de la serie B, D, I y E, usando la versión de firmware  A1D-500-AC-V6.11.31 son vulnerables a varios problemas. Otros modelos pueden verse afectados.

CWE-306 : Falta de autenticación de función crítica – CVE-2017-3184

El problema se debe a que el dispositivo no detiene o restringe adecuadamente el acceso a la página de restablecimiento de fábrica. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad, accediendo directamente a la página http: //xxxx/setup/setup_maintain_firmware-default.html.

Esto permitirá a un atacante realizar un restablecimiento de fábrica en el dispositivo, lo que lleva a una condición de denegación de servicio o la capacidad de hacer uso de credenciales predeterminadas (CVE-2017-3186).

CWE-598 : Información sobre la exposición A través de Cadenas de consulta en la solicitud GET – CVE-2017-3185

La aplicación web utiliza el método GET para procesar las peticiones que contienen información confidencial, como nombre de cuenta de usuario y contraseña, que puede exponer a esa información a través de la historia del navegador, referencias, registros históricos y otras fuentes.

CWE-521 : requisitos de las contraseñas débiles CVE-2.017-3186

El dispositivo utiliza credenciales predeterminadas no aleatorias en todos los dispositivos. Un atacante remoto puede tomar el control completo de un dispositivo empleando credenciales de administrador por defecto.

Para obtener más información, por favor lea aviso de seguridad del investigador.

Impacto

Un atacante remoto no autenticado podría ser capaz de realizar un restablecimiento de fábrica del dispositivo, tener acceso a información confidencial, como nombre de cuenta de usuario o contraseña, o utilizar un conocido raíz predeterminado de administración de credenciales en todos los dispositivos.

TAMBIEN TE PUEDE INTERESAR:  La prohibición de Dahua y Hikvision es ley

Solución

El CERT / CC ignora hasta el momento de una solución práctica a este problema.

Información de Proveedores ( Más información )

VendedorEstadofecha notificadaFecha actualizada
ACTi CorporaciónAfectado20 Ene 201707 Mar 2017

Si usted es un proveedor y su producto se ve afectada, háganoslo saber .

Las métricas CVSS ( Saber más )

GrupoPuntuaciónVector
Base10.0AV: N / AC: L / Au: N / C: C / I: C / A: C
Temporal8.5E: POCO / RL: U / RC: UR
Ambiental6.4CDP: ND / TD: M / CR: ND / IR: ND / AR: ND

referencias

Crédito

Gracias a Mandar Jadhav de la firma de análisis Qualys Research, por informar de estas vulnerabilidades.

Otra información

Realimentación

Si usted tiene información, comentarios o información adicional acerca de esta vulnerabilidad, envíe su mensaje al correo electrónico del CERT.

Comparte este Artículo:
Felipe Argüello
Felipe Argüello

Felipe Arguello es el fundador de Infoteknico. Es un reconocido ingeniero especializado en sistemas de seguridad electrónica con una trayectoria de más de 30 años. Con un enfoque multidisciplinario, respaldado por su educación en Ingeniería Civil, Ingeniería Eléctrica y Protección Contra Incendios, y con múltiples certificaciones profesionales, ha liderado la implementación de soluciones de seguridad integral de importantes corporaciones en más de 25 países de América y Europa.

Artículos: 1035

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *