.st0{fill:#FFFFFF;}

Aviso de Vulnerabilidad en Cámaras Acti 

 mayo 25, 2017

Por  Felipe Arguello325

Afectadas las cámaras ACTi de la series D, B, I, y la serie E

Descripción del Problema de ACTi

Según el reportero, múltiples dispositivos, incluyendo los Modelos ACTi de la serie B, D, I y E, usando la versión de firmware  A1D-500-AC-V6.11.31 son vulnerables a varios problemas. Otros modelos pueden verse afectados.

CWE-306 : Falta de autenticación de función crítica – CVE-2017-3184

El problema se debe a que el dispositivo no detiene o restringe adecuadamente el acceso a la página de restablecimiento de fábrica. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad, accediendo directamente a la página http: //xxxx/setup/setup_maintain_firmware-default.html. Esto permitirá a un atacante realizar un restablecimiento de fábrica en el dispositivo, lo que lleva a una condición de denegación de servicio o la capacidad de hacer uso de credenciales predeterminadas (CVE-2017-3186).

CWE-598 : Información sobre la exposición A través de Cadenas de consulta en la solicitud GET – CVE-2017-3185

La aplicación web utiliza el método GET para procesar las peticiones que contienen información confidencial, como nombre de cuenta de usuario y contraseña, que puede exponer a esa información a través de la historia del navegador, referencias, registros históricos y otras fuentes.

CWE-521 : requisitos de las contraseñas débiles CVE-2.017-3186

El dispositivo utiliza credenciales predeterminadas no aleatorias en todos los dispositivos. Un atacante remoto puede tomar el control completo de un dispositivo utilizando credenciales de administrador por defecto.

Para obtener más información, por favor lea aviso de seguridad del investigador.

Impacto

Un atacante remoto no autenticado podría ser capaz de realizar un restablecimiento de fábrica del dispositivo, tener acceso a información confidencial, como nombre de cuenta de usuario o contraseña, o utilizar un conocido raíz predeterminado de administración de credenciales en todos los dispositivos.

Solución

El CERT / CC ignora hasta el momento de una solución práctica a este problema.

Información de Proveedores ( Más información )

Vendedor Estado fecha notificada Fecha actualizada
ACTi Corporación Afectado 20 Ene 2017 07 Mar 2017

Si usted es un proveedor y su producto se ve afectada, háganoslo saber .

Las métricas CVSS ( Saber más )

Grupo Puntuación Vector
Base 10.0 AV: N / AC: L / Au: N / C: C / I: C / A: C
Temporal 8.5 E: POCO / RL: U / RC: UR
Ambiental 6.4 CDP: ND / TD: M / CR: ND / IR: ND / AR: ND

referencias

Crédito

Gracias a Mandar Jadhav de la firma de análisis Qualys Research, por informar de estas vulnerabilidades.

Otra información

Realimentación

Si usted tiene información, comentarios o información adicional acerca de esta vulnerabilidad, envíe su mensaje al correo electrónico del CERT.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>