Les identifiants d'authentification sont imprimés en clair dans les journaux des appareils, après leur premier approvisionnement. Le numéro de série de l'appareil peut être modifié en poussant la configuration avec la gestion de masse de Command Enterprise ou en utilisant une API réservée.

CVE	N/A
Résumé de l'avis	Les identifiants d'authentification sont imprimés en clair dans les journaux des appareils, après leur premier approvisionnement. Le numéro de série de l'appareil peut être modifié en poussant la configuration avec la gestion de masse de Command Enterprise ou en utilisant une API réservée.
Produits ou composants	Série VA 1.1.1 Série ME6 1.1.4 SE2 Caméra ATM 1.1.1 SE2 Fleet Wedge Camera 1.1.1 SE2 Fleet Dash Camera 1.1.1 SE2 PTZ encastrées et suspendues 30X 1.0.9 ME3 PTZ IR suspendu 40X 1.0.9 SE4 IR DuraBullet 1.0.10
Abordé dans le communiqué	Série VA 1.1.2 Série ME6 1.1.5 SE2 Caméra ATM 1.1.2 SE2 Fleet Wedge Camera 1.1.2 SE2 Fleet Dash Camera 1.1.2 SE2 PTZ encastrées et suspendues 30X 1.0.10 ME3 PTZ IR suspendu 40X 1.0.10 SE4 IR DuraBullet 1.0.11
Sévérité	Haut
Billet	SV-60, SV-61

Description

Le problème de haute gravité est lié à l'impression en clair des identifiants d'accès dans les journaux de l'appareil, après leur premier provisionnement. Cette opération est obligatoire pour provisionner les identifiants d'authentification dans un appareil, et le problème est que le fichier journal peut être exporté, divulguant ainsi ces identifiants.

En outre, le numéro de série de l'appareil peut être modifié en poussant la configuration avec la gestion de masse de Command Enterprise ou en utilisant une API réservée. Il s'agit d'un problème de faible gravité du point de vue de la sécurité, car l'appareil conserve son identité réseau et continue à fonctionner correctement (même avec les opérations de gestion de masse). Cela dit, la mise à jour a été jugée obligatoire pour pouvoir continuer à fournir une assistance pour ces appareils, puisque le numéro de série est nécessaire pour traiter les demandes d'assistance.

Impact

Les informations d'authentification de la caméra fournies dans l'appareil seront présentes dans les journaux. Le numéro de série peut être modifié en poussant la configuration avec la gestion de masse ou en utilisant une API réservée.

Atténuations

Modifiez l'identifiant d'authentification après leur mise en place initiale, évitez d'effectuer des changements de configuration avec la gestion de masse de Command Enterprise ou d'utiliser une API réservée.

Solution

Téléchargez et déployez les versions du micrologiciel qui fournissent la correction si votre version est affectée.

Téléchargements

Le micrologiciel de toutes les caméras concernées est disponible à l'adresse suivante : https://www.marchnetworks.com/software-downloads/

Crédits

March Networks souhaite remercier CC-Teknologies pour avoir signalé cette vulnérabilité.

Révision

16 décembre 2021 - Rapport public

Clause de non-responsabilité

L'évaluation par March Networksde cette faille de sécurité dépend de la mise à jour des produits March Networks à la version recommandée et/ou au niveau du correctif de sécurité et du fait que le système a été déployé et configuré conformément aux recommandations de sécurité de March Networks et aux meilleures pratiques de l'industrie. IL EST DE LA RESPONSABILITÉ DU CLIENT D'ÉVALUER L'EFFET DE TOUTE FAILLE DE SÉCURITÉ. Le fait de ne pas mettre à jour les produits de March Networks et/ou de ne pas suivre les recommandations de March Networks ou les meilleures pratiques du secteur peut accroître le risque associé à une faille de sécurité. March Networks suit les meilleures pratiques de l'industrie pour remédier aux failles de sécurité de ses produits. Bien que March Networks ne puisse garantir que ses produits seront exempts de failles de sécurité, il s'engage à fournir des mises à jour et des correctifs de sécurité pour les produits qu'il prend en charge, s'il est établi qu'une faille de sécurité importante affecte les produits March Networks .