Las credenciales de autenticación se imprimen en claro en los registros del dispositivo, tras su primer aprovisionamiento. El número de serie del dispositivo se puede cambiar introduciendo la configuración con la gestión masiva de Command Enterprise o utilizando una API reservada.

CVE	N/A
Resumen del asesoramiento	Las credenciales de autenticación se imprimen en claro en los registros del dispositivo, tras su primer aprovisionamiento. El número de serie del dispositivo se puede cambiar introduciendo la configuración con la gestión masiva de Command Enterprise o utilizando una API reservada.
Productos o componentes	Serie VA 1.1.1 Serie ME6 1.1.4 Cámara SE2 ATM 1.1.1 SE2 Fleet Wedge Camera 1.1.1 SE2 Fleet Dash Camera 1.1.1 SE2 PTZ empotrada y colgante 30X 1.0.9 ME3 PTZ IR colgante 40X 1.0.9 SE4 IR DuraBullet 1.0.10
Abordado en la publicación	Serie VA 1.1.2 Serie ME6 1.1.5 Cámara SE2 ATM 1.1.2 SE2 Fleet Wedge Camera 1.1.2 SE2 Fleet Dash Camera 1.1.2 SE2 PTZ empotrada y colgante 30X 1.0.10 ME3 PTZ IR colgante 40X 1.0.10 SE4 IR DuraBullet 1.0.11
Gravedad	Alta
Billete	SV-60, SV-61

Descripción

El problema de gravedad alta está relacionado con la impresión de las credenciales de acceso en claro en los registros del dispositivo, tras su primer aprovisionamiento. Esta operación es obligatoria para aprovisionar credenciales de autenticación en un dispositivo, y el problema es que el archivo de registro puede exportarse, revelándolas.

Además de esto, el número de serie del dispositivo se puede cambiar empujando la configuración con la gestión masiva de Command Enterprise o utilizando una API reservada. Se trata de un problema de baja gravedad desde el punto de vista de la seguridad, ya que el dispositivo mantiene su identidad de red y sigue funcionando correctamente (incluso con operaciones de gestión masiva). Dicho esto, la actualización se consideró obligatoria para poder seguir prestando asistencia a estos dispositivos, ya que el número de serie es necesario para procesar las solicitudes de asistencia.

Impacto

Las credenciales de autenticación de la cámara proporcionadas en el dispositivo estarán presentes en los registros. El número de serie puede cambiarse introduciendo la configuración mediante gestión masiva o utilizando una API reservada.

Mitigación

Cambie la credencial de autenticación después de su aprovisionamiento inicial, evite realizar cambios de configuración con la gestión masiva de Command Enterprise o utilizando una API reservada.

Solución

Descargue e implante las versiones de firmware que proporcionan la corrección si su versión está afectada.

Descargas

El firmware de todas las cámaras afectadas se puede encontrar aquí: https://www.marchnetworks.com/software-downloads/

Créditos

March Networks desea agradecer a CC-Teknologies por informar sobre esta vulnerabilidad.

Revisión

16 dic 2021 - Informe público

Descargo de responsabilidad

La evaluación de March NetworksNetworks de esta vulnerabilidad de seguridad depende de que los productos de March Networks Networks estén actualizados a la versión recomendada y/o nivel de parche de seguridad y que el sistema haya sido desplegado y configurado, de acuerdo con las recomendaciones de seguridad March Networks y las mejores prácticas de la industria. ES RESPONSABILIDAD DEL CLIENTE EVALUAR EL EFECTO DE CUALQUIER VULNERABILIDAD DE SEGURIDAD. No actualizar los productos de March Networks Networks y/o no seguir las recomendaciones de March Networks o las mejores prácticas de la industria puede aumentar el riesgo asociado con una vulnerabilidad de seguridad. March Networks sigue las prácticas líderes de la industria para abordar las vulnerabilidades de seguridad en nuestros productos. Aunque March Networks Networks no puede garantizar que nuestros productos estarán libres de vulnerabilidades de seguridad, nos comprometemos a proporcionar actualizaciones y correcciones de seguridad, para nuestros productos compatibles, siempre y cuando se determine que una vulnerabilidad de alta seguridad afecta a los productos de March Networks Networks.