| CVE | N/D |
|---|---|
| Sintesi della consulenza | Le credenziali di autenticazione vengono stampate in chiaro nei registri del dispositivo, dopo il primo provisioning. Il numero di serie del dispositivo può essere modificato spingendo la configurazione con la gestione di massa di Command Enterprise o utilizzando un'API riservata. |
| Prodotti o componenti | Serie VA 1.1.1 Serie ME6 1.1.4 SE2 Telecamera ATM 1.1.1 SE2 Telecamera a cuneo per flotta 1.1.1 SE2 Telecamera da cruscotto per flotta 1.1.1 SE2 PTZ a filo e a sospensione 30X 1.0.9 ME3 PTZ IR a sospensione 40X 1.0.9 SE4 IR DuraBullet 1.0.10 |
| Affrontato nella pubblicazione | Serie VA 1.1.2 Serie ME6 1.1.5 SE2 Telecamera ATM 1.1.2 SE2 Telecamera a cuneo per flotta 1.1.2 SE2 Telecamera da cruscotto flotta 1.1.2 SE2 PTZ a filo e a sospensione 30X 1.0.10 ME3 PTZ IR a sospensione 40X 1.0.10 SE4 IR DuraBullet 1.0.11 |
| Gravità | Alto |
| Biglietto | SV-60, SV-61 |
Descrizione
Il problema di gravità elevata è legato alla stampa in chiaro delle credenziali di accesso nei registri del dispositivo, dopo il loro primo provisioning. Questa operazione è obbligatoria per il provisioning delle credenziali di autenticazione in un dispositivo e il problema è che il file di registro può essere esportato, rivelando le credenziali.
Inoltre, il numero di serie del dispositivo può essere modificato spingendo la configurazione con la gestione di massa di Command Enterprise o utilizzando un'API riservata. Si tratta di un problema di bassa gravità dal punto di vista della sicurezza, poiché il dispositivo mantiene la sua identità di rete e continua a funzionare correttamente (anche con le operazioni di gestione di massa). Detto questo, l'aggiornamento è stato ritenuto obbligatorio per poter continuare a fornire assistenza a questi dispositivi, poiché il numero di serie è necessario per elaborare le richieste di assistenza.
Impatto
Le credenziali di autenticazione della telecamera fornite nel dispositivo saranno presenti nei registri. Il numero di serie può essere modificato spingendo la configurazione con la gestione di massa o utilizzando un'API riservata.
Mitigazioni
Modificare le credenziali di autenticazione dopo il loro provisioning iniziale, evitare di eseguire modifiche alla configurazione con la gestione di massa di Command Enterprise o utilizzando un'API riservata.
Soluzione
Scaricare e distribuire le versioni del firmware che forniscono la correzione se la propria versione è interessata.
Download
Il firmware della videocamera per tutte le fotocamere interessate è disponibile qui: https://www.marchnetworks.com/software-downloads/
Crediti
March Networks desidera ringraziare CC-Teknologies per aver segnalato questa vulnerabilità.
Revisione
16 dicembre 2021 - Rapporto pubblico
Esclusione di responsabilità
La valutazione da parte di March Networksdi questa vulnerabilità di sicurezza è subordinata al fatto che i prodotti March Networks siano stati aggiornati al livello di release e/o patch di sicurezza raccomandato e che il sistema sia stato implementato e configurato in conformità alle raccomandazioni di sicurezza March Networks e alle best practice del settore. È RESPONSABILITÀ DEL CLIENTE VALUTARE L'EFFETTO DI QUALSIASI VULNERABILITÀ DI SICUREZZA. Il mancato aggiornamento dei prodotti March Networks e/o la mancata osservanza delle raccomandazioni March Networks o delle best practice del settore possono aumentare il rischio associato a una vulnerabilità di sicurezza. March Networks segue le pratiche più avanzate del settore per affrontare le vulnerabilità di sicurezza dei propri prodotti. Sebbene March Networks non possa garantire che i suoi prodotti siano privi di vulnerabilità di sicurezza, si impegna a fornire aggiornamenti e correzioni di sicurezza per i suoi prodotti supportati, se e quando viene determinata una vulnerabilità di sicurezza elevata che riguarda i prodotti March Networks .