Aviso de Vulnerabilidad en Cámaras Acti

Afectadas las cámaras ACTi de la series D, B, I, y la serie E

Descripción del Problema de ACTi

Según el reportero, múltiples dispositivos, incluyendo los Modelos ACTi de la serie B, D, I y E, usando la versión de firmware  A1D-500-AC-V6.11.31 son vulnerables a varios problemas. Otros modelos pueden verse afectados.

CWE-306 : Falta de autenticación de función crítica – CVE-2017-3184

El problema se debe a que el dispositivo no detiene o restringe adecuadamente el acceso a la página de restablecimiento de fábrica. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad, accediendo directamente a la página http: //xxxx/setup/setup_maintain_firmware-default.html.

Esto permitirá a un atacante realizar un restablecimiento de fábrica en el dispositivo, lo que lleva a una condición de denegación de servicio o la capacidad de hacer uso de credenciales predeterminadas (CVE-2017-3186).

CWE-598 : Información sobre la exposición A través de Cadenas de consulta en la solicitud GET – CVE-2017-3185

La aplicación web utiliza el método GET para procesar las peticiones que contienen información confidencial, como nombre de cuenta de usuario y contraseña, que puede exponer a esa información a través de la historia del navegador, referencias, registros históricos y otras fuentes.

CWE-521 : requisitos de las contraseñas débiles CVE-2.017-3186

El dispositivo utiliza credenciales predeterminadas no aleatorias en todos los dispositivos. Un atacante remoto puede tomar el control completo de un dispositivo empleando credenciales de administrador por defecto.

Para obtener más información, por favor lea aviso de seguridad del investigador.

TAMBIEN TE PUEDE INTERESAR:  Guía de seguridad de Windows 10

Impacto

Un atacante remoto no autenticado podría ser capaz de realizar un restablecimiento de fábrica del dispositivo, tener acceso a información confidencial, como nombre de cuenta de usuario o contraseña, o utilizar un conocido raíz predeterminado de administración de credenciales en todos los dispositivos.

Solución

El CERT / CC ignora hasta el momento de una solución práctica a este problema.

Información de Proveedores ( Más información )

VendedorEstadofecha notificadaFecha actualizada
ACTi CorporaciónAfectado20 Ene 201707 Mar 2017

Si usted es un proveedor y su producto se ve afectada, háganoslo saber .

Las métricas CVSS ( Saber más )

GrupoPuntuaciónVector
Base10.0AV: N / AC: L / Au: N / C: C / I: C / A: C
Temporal8.5E: POCO / RL: U / RC: UR
Ambiental6.4CDP: ND / TD: M / CR: ND / IR: ND / AR: ND

referencias

Crédito

Gracias a Mandar Jadhav de la firma de análisis Qualys Research, por informar de estas vulnerabilidades.

Otra información

Realimentación

Si usted tiene información, comentarios o información adicional acerca de esta vulnerabilidad, envíe su mensaje al correo electrónico del CERT.

Felipe Argüello
Felipe Argüello

Felipe Argüello es el fundador de Infoteknico. Ingeniero con más de 30 años de experiencia trabajando en América Latina, Estados Unidos y Europa en las áreas de ingeniería, consulta técnica, proyectos, ventas y entrenamiento en soluciones de alta tecnología y seguridad electrónica.

Artículos: 867

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *