Impegno per la sicurezza e l'affidabilità
March Networks si impegna a garantire la sicurezza e l'affidabilità di tutti i suoi prodotti. Ci sforziamo di affrontare in modo proattivo le minacce alla sicurezza che ci vengono segnalate dall'US Computer Emergency Readiness Team (US-CERT). Quando veniamo a conoscenza di potenziali vulnerabilità, il nostro team conduce immediatamente indagini approfondite sulle nostre linee di prodotti. Se appropriato e richiesto, ci attiviamo immediatamente per preparare aggiornamenti software/firmware e per avvisare i clienti della disponibilità di tali aggiornamenti.
Segnalazione delle vulnerabilità di sicurezza a March Networks
Se si ritiene di aver individuato una vulnerabilità di sicurezza in un prodotto March Networks , si prega di contattarci immediatamente all'indirizzo securityalert@marchnetworks.com.
Apprezziamo il lavoro dei ricercatori di sicurezza indipendenti che identificano le vulnerabilità e seguono pratiche di divulgazione responsabili.
Avvisi di sicurezza
I precedenti aggiornamenti di sicurezza che hanno interessato i prodotti March Networks sono elencati di seguito, insieme alle corrispondenti versioni del software in cui è stata risolta la vulnerabilità. Gli aggiornamenti del software sono pubblicati sul nostro Partner Portal e sono disponibili anche nella pagina Download del software.
Se non avete accesso al nostro portale per i partner, contattate il vostro fornitore di soluzioni certificato March Networks per ricevere assistenza.
| CVE | Sintesi della consulenza | Prodotti o componenti | Affrontato nella pubblicazione | Gravità |
|---|---|---|---|---|
| 6387 | È stata scoperta e verificata una vulnerabilità RCE (Remote Unauthenticated Code Execution) nel server OpenSSH in esecuzione su sistemi basati su Linux su una CPU Intel a 32 bit. | NVR 8000, NVR 9000, NVR RideSafe GT/MT/RT | Patch 42339 R1.0 per 5.26.0.0047 (GA) e 5.27.0.0049 (GA) | Alto |
| CVE-2022-40735, CVE-2002-20001, CVE-2023-48795, CVE-2023-46445, CVE-2023-46446 | Recentemente, il NIST ha aggiornato le vulnerabilità CVE-2022-40735 e CVE-2002-20001 per collegarsi a un documento dell'IEEE che presenta un attacco pratico di tipo Denial-of-Service allo scambio di chiavi Diffie-Hellman in campo finito. L'attacco è noto come DHEat ed è classificato come vulnerabilità elevata. Il servizio SSH presente nei registratori R5 consente l'utilizzo di uno scambio di chiavi Diffie-Hellman, pertanto esiste il rischio di un attacco Denial-of-Service. Stiamo rilasciando una patch per correggere questo problema, eliminando lo scambio di chiavi Diffie-Hellman. Questa patch corregge anche CVE-2023-48795, CVE-2023-46445 e CVE-2023-46446, una vulnerabilità SSH di livello medio nota come Terrapin. | NVR 8000, NVR 9000, NVR RideSafe GT/MT/RT | 5.27.0.0049 (GA) Patch 42114 R1.0 per 5.25.0.0127 (GA) e 5.26.0.0047 (GA) | Alto |
| Si veda la sezione sull'impatto della consulenza | Azul Zulu OpenJDK vulnerabilità su codice non attendibile e API di rete. Alcuni scanner di sicurezza, eseguiti direttamente nel server che ospita Command Enterprise, rilevano la versione di Azul dai suoi file di configurazione ed elencano tutte le potenziali CVE divulgate nelle note di rilascio di Azul, senza verificare se i relativi componenti sono installati o utilizzati. | Impresa di comando | Nessun impatto sui prodotti March Networks | N/D |
| 0230 | Negazione del servizio basata sull'approssimazione del numero di sequenza TCP. Alcuni scanner di sicurezza, eseguiti direttamente nel server che ospita Command Enterprise, rilevano la versione di Azul dai suoi file di configurazione ed elencano tutte le potenziali CVE divulgate nelle note di rilascio di Azul, senza verificare se i relativi componenti sono installati o come vengono utilizzati. | Si veda la sezione sull'impatto della consulenza | Nessun impatto sui prodotti March Networks | N/D |
| 4863 | Esecuzione di iniezione di codice libwebp nei client che eseguono Command Client | Command Client | Command Client 2.18.0 e successivi, 2.17.2 e 2.16.3 | Critico |
| CVE-2020-15778, CVE-2018-15473, CVE-2021-28041, CVE-2021-41617, CVE-2020-14145 | Aggiornamento di OpenSSH per evitare molteplici vulnerabilità di sicurezza di media entità. | Serie 8000, 9000 e RideSafe GT/MT/RT | Patch disponibile per 5.24.0.0067 (GA) e 5.24.0.1001 (SP1) | Medio |
| N/D | Alcuni scanner di sicurezza mostrano che i metodi HTTP OPTIONS/DELETE sono abilitati, segnalando una potenziale vulnerabilità senza ulteriori controlli, innescando un falso allarme su Command Enterprise. | Impresa di comando | Nessun impatto sui prodotti March Networks | N/D |
| N/D | I registratori March Networks serie 8000, 9000 e RideSafe (R5) consentono alle telecamere e ai codificatori di richiedere l'autenticazione utilizzando protocolli deboli (NTLMv2 e autenticazione di base). | Registratori serie 8000, 9000 e RideSafe | Suite software di intelligenza visiva 5.24.0.0067 | Alto |
| N/D | Un utente autorizzato di Command Enterprise potrebbe falsificare un messaggio di controllo tramite Command API per modificare la visibilità delle risorse al di fuori dell'accesso approvato. | Impresa di comando | 2.16.0 | Alto |
| CVE-2022-3786, CVE-2022-3602 | Overflow degli indirizzi e-mail dei certificati X.509 in OpenSSL 3.0.0-3.06. I nostri prodotti non utilizzano alcuna versione di OpenSSL interessata da questo problema. | Tutti | Nessun impatto sui prodotti March Networks | N/D |
| 22965 | Un utente malintenzionato può iniettare l'esecuzione di codice remoto sfruttando un'applicazione Spring in esecuzione su JDK 9 o superiore. | Nessun impatto sui prodotti March Networks | N/D | |
| CVE-2022-23302, CVE-2022-23305, CVE-2022-23307 | Un utente malintenzionato può iniettare l'esecuzione di codice remoto sfruttando i componenti e le funzioni di Log4j 1.2 non abilitati o utilizzati per impostazione predefinita: serializzazione in JMSSink, iniezioni SQL in JDBCAppender e Apache Chainsaw per visualizzare i registri con un visualizzatore di registri basato su GUI dedicata. Le versioni di Command Enterprise fino alla 2.14 utilizzano Apache Log4j 1.x senza abilitare alcuno dei componenti e delle funzioni di cui sopra. Un utente malintenzionato dovrà avere accesso privilegiato a Command Enterprise per abilitarli, quindi non è interessato dagli exploit. Per evitare completamente qualsiasi confusione su queste vulnerabilità e per una migliore manutenzione futura, in Command Enterprise 2.14.1 abbiamo sostituito Log4j con Reload4j, un'alternativa moderna. | Command Enterprise 2.14.1 | Basso | |
| 45105 | Un utente malintenzionato può causare un denial of service quando viene interpretata una stringa artigianale a causa di una ricorsione incontrollata da look-up autoreferenziali. Command Enterprise utilizza Apache Log4j 1.x, che non è affetto da questa vulnerabilità. | Nessun impatto sui prodotti March Networks | N/D | |
| 4104 | Un utente malintenzionato può sfruttare la configurazione di Log4j 1.2, non abilitata per impostazione predefinita, per una funzione chiamata JMSAppender. Questa funzione può portare a eseguire richieste JNDI, con conseguente esecuzione di codice remoto in modo simile a CVE-2021-44228. Command Enterprise utilizza Apache Log4j 1.x, senza abilitare JMSAppender. Un utente malintenzionato dovrà già disporre di un accesso privilegiato a Command Enterprise per poterlo sfruttare facendo leva su questa vulnerabilità. | Command Enterprise 2.14.1 | Basso | |
| N/D | Le credenziali di autenticazione vengono stampate in chiaro nei registri del dispositivo, dopo il primo provisioning. Il numero di serie del dispositivo può essere modificato spingendo la configurazione con la gestione di massa di Command Enterprise o utilizzando un'API riservata. | Serie VA 1.1.1 Serie ME6 1.1.4 SE2 Telecamera ATM 1.1.1 SE2 Telecamera a cuneo per flotta 1.1.1 SE2 Telecamera da cruscotto per flotta 1.1.1 SE2 PTZ a filo e a sospensione 30X 1.0.9 ME3 PTZ IR a sospensione 40X 1.0.9 SE4 IR DuraBullet 1.0.10 | Serie VA 1.1.2 Serie ME6 1.1.5 SE2 Telecamera ATM 1.1.2 SE2 Telecamera a cuneo per flotta 1.1.2 SE2 Telecamera da cruscotto flotta 1.1.2 SE2 PTZ a filo e a sospensione 30X 1.0.10 ME3 PTZ IR a sospensione 40X 1.0.10 SE4 IR DuraBullet 1.0.11 | Alto |
| 44228 | Un utente malintenzionato può eseguire codice arbitrario iniettando dati controllati dall'utente malintenzionato in un messaggio registrato con le versioni della libreria Apache Log4j2 comprese tra 2.0.0 e 2.14.1. Command Enterprise utilizza Apache Log4j 1.x, che non è affetto da questa vulnerabilità. | Nessun impatto sui prodotti March Networks | N/D | |
| N/D | Alcune versioni di Admin Console consentono l'autenticazione di base tramite connessioni HTTP verso Command Enterprise. | Admin Console versione 5.17, 5.19, 5.20 (compresi tutti i service pack precedenti alle versioni con la correzione) | 5.17 SP3, 5.19 SP3, 5.20 SP2. Le versioni inferiori alla 5.17 e superiori alla 5.20 non sono interessate. | Alto |
| N/D | Vulnerabilità nei dispositivi basati su Xiaongmai | Nessun impatto sui prodotti March Networks | N/D | |
| 9163 | Esecuzione di iniezione di codice XAML nei client che eseguono Command Client | Command Client | Client di comando 2.7.2 | Critico |
| 2422 | Vulnerabilità nel componente Java SE di Oracle Java SE | Nessun impatto sui prodotti March Networks | N/D | |
| 2426 | Vulnerabilità nel componente Java SE di Oracle Java SE | Nessun impatto sui prodotti March Networks | N/D | |
| 2449 | Vulnerabilità nel componente Java SE di Oracle Java SE | Nessun impatto sui prodotti March Networks | N/D | |
| 11219 | iLnkP2p | Nessun impatto sui prodotti March Networks | N/D | |
| 11220 | iLnkP2p | Nessun impatto sui prodotti March Networks | N/D | |
| 1149 | cgi_system in NVRMini2 3.8.0 di NUUO | Nessun impatto sui prodotti March Networks | N/D | |
| 1150 | NVRMini2 3.8.0 di NUUO | Nessun impatto sui prodotti March Networks | N/D | |
| 10933 | Bypass dell'autenticazione di Libssh | Nessun impatto sui prodotti March Networks | N/D | |
| 11212 | Vulnerabilità nel componente Java SE di Oracle Java SE | Nessun impatto sui prodotti March Networks | N/D | |
| 5754 | Carico anomalo della cache dati (Meltdown) | Dispositivi Edge OS 2.x; 6000, 8000, 9000, GT, registratori serie MT e serie ME4 | Non è necessario in questo momento | Basso |
| 5754 | Carico anomalo della cache dati (Meltdown) | Tutti i nostri software che possono essere installati su un sistema operativo Windows | Solo patch di sicurezza Microsoft | Medio |
| 5753 | Bypass del controllo dei limiti | Dispositivi Edge OS 2.x; registratori serie 6000, 8000, 9000, GT, MT; Encoder Edge 4 e Edge 16; Serie ME4 | Non è necessario in questo momento | Basso |
| 5753 | Bypass del controllo dei limiti | Tutti i nostri software che possono essere installati su un sistema operativo Windows | Solo patch di sicurezza Microsoft | Medio |
| 5715 | Iniezione dell'obiettivo del ramo (Spectre) | Dispositivi Edge OS 2.x; registratori serie 6000, 8000, 9000, GT, MT; Serie ME4 | Non è necessario in questo momento | Basso |
| 5715 | Iniezione dell'obiettivo del ramo (Spectre) | Tutti i nostri software che possono essere installati su un sistema operativo Windows | Solo patch di sicurezza Microsoft | Medio |
| 9765 | gSOAP | Vari dispositivi Edge OS 1.x e 2.x | Fare riferimento alla tabella | Medio |
| 5638 | Parser Multipart di Apache Struts Jakarta | Nessun impatto sui prodotti March Networks | N/D | |
| 0800 | Attacco cross-protocollo a TLS con SSLv2 (DROWN) | Tutti | Nessun impatto sui prodotti March Networks | N/D |
| CVE-2015-1798 CVE-2015-1799 | Attacchi NTP MiM/DOS | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.10 | Medio |
| N/D | La catena di certificati SSL contiene chiavi RSA inferiori a 2048 bit | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.10 | Medio |
| 2808 | Suite di cifratura SSL RC4 supportate | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.10 | Medio |
| N/D | Linux/Moose | Nessun impatto sui prodotti March Networks | Medio | |
| 4000 | Attacco a logjam | Nessun impatto sui prodotti March Networks | Medio | |
| 0247 | e2fsprogs | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.9 SP1 | Medio |
| 0235 | Fantasma | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.9 SP1 | Medio |
| 0235 | Fantasma | Intelligenza visiva (R5) Serie 3000 | 5.5.1 SP18 | Medio |
| CVE-2015-0293 e altri | OpenSSL 0.9.8zf | Intelligenza visiva (R5) Serie 3000 | 5.5.1 SP18 | Alto |
| N/D | OpenSSL | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.9 | Basso |
| N/D | Utilità NTP | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.9 | Basso |
| N/D | Aprire SSH | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.9 | Basso |
| 0204 | Vulnerabilità SSL/TLS FREAK | Tutti | Nessun impatto sui prodotti March Networks | N/D |
| 0204 | Vulnerabilità SSL/TLS FREAK | Dispositivi Edge OS 1.x | 1.10.6 | Medio |
| 0235 | Esecuzione di codice remoto di Linux "Ghost | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.9 | Basso |
| 0160 | Pacchetti di estensione Heartbeat | Dispositivi Edge OS 1.x | 1.10.4 | Medio |
| 2609 | Vulnerabilità multiple del server Oracle GlassFish | Impresa di comando | 1.8.0 | Medio |
| 0224 | Vulnerabilità MiTM di OpenSSL "ChangeCipherSpec | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.5 - SP1 5.7.7 | Alto |
| 0224 | Vulnerabilità MiTM di OpenSSL "ChangeCipherSpec | Intelligenza visiva (R5) 3204 | 5.5.1 - SP17 | Alto |
| 0224 | Vulnerabilità MiTM di OpenSSL "ChangeCipherSpec | Registratore di comandi | 1.8.0 | Alto |
| 3566 | Protocollo SSL 3.0 | Dispositivi Edge OS 1.x | 1.10.6 | Medio |
| 0224 | Vulnerabilità MiTM di OpenSSL "ChangeCipherSpec | Dispositivi Edge OS 1.x | 1.10.6 | Basso |
| 6271 | Vulnerabilità di GNU Bash che causa l'esecuzione di codice remoto | Non applicabile ai prodotti March Networks | N/D | |
| 5211 | Vulnerabilità NTP MONLIST | Intelligenza visiva (R5) 8000 4000 (Gen 4) | 5.7.2 - SP2 5.7.3 - SP4 5.7.4 - SP3 5.7.8 - SP1 | Alto |
| 5211 | Vulnerabilità NTP MONLIST | Serie 5000 | 4.9.1 - DVR R4 | Alto |
| 0920 | Vulnerabilità del server SSH Dropbear | Dispositivi Edge OS 1.x | 1.10.5 | Medio |