Уязвимость BDU:2019-00894

Дата: 14.02.2019. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2019-00894.

Наименование уязвимости: Уязвимость WEB-интерфейса микропрограммного обеспечения камер серии Pelco Sarix Enhanced, позволяющая нарушителю удалить произвольный файл.

Описание уязвимости: Уязвимость WEB-интерфейса микропрограммного обеспечения камер серии Pelco Sarix Enhanced связана с ошибками в управлении контроля доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, удалить произвольный файл
Уязвимое ПО: Микропрограммный код Schneider Electric Indoor Cameras IME3122-1P до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME3122-B1S до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME119-1I до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME119-1P до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME119-1S до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME219-1I до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME219-1P до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME219-1S до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME3122-1I до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME3122-1S до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME3122-B1I до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME3122-B1P до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME319-1I до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME319-1P до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME319-1S до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME319-B1I до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME319-B1P до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IME319-B1S до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IMES19-1I до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IMES19-1P до 2.2.3.0 | Микропрограммный код Schneider Electric Indoor Cameras IMES19-1S до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME119-1EI до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME119-1EP до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME119-1ES до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME219-1EI до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME219-1EP до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME219-1ES до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME3122-1EI до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME3122-1EP до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME3122-1ES до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME319-1EI до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME319-1EP до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IME319-1ES до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IMES19-1EI до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IMES19-1EP до 2.2.3.0 | Микропрограммный код Schneider Electric Environmental Cameras Mini Domes IMES19-1ES до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME119-1VI до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME119-1VP до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME119-1VS до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME219-1VI до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME219-1VP до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME219-1VS до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME3122-1VI до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME3122-1VP до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME3122-1VS до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME319-1VI до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME319-1VP до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IME319-1VS до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IMES19-1VI до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IMES19-1VP до 2.2.3.0 | Микропрограммный код Schneider Electric Vandal Resistant Mini Domes IMES19-1VS до 2.2.3.0 | Микропрограммный код Schneider Electric Box Cameras IXE11 до 2.2.3.0 | Микропрограммный код Schneider Electric Box Cameras IXE21 до 2.2.3.0 | Микропрограммный код Schneider Electric Box Cameras IXE31 до 2.2.3.0 | Микропрограммный код Schneider Electric Box Cameras IXES1 до 2.2.3.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 14.02.2019.
CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:C/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,6)

Возможные меры по устранению:
Обновление программного обеспечения:
Для Environmental Cameras Mini Domes (IMES19-1EI, IMES19-1ES, IMES19-1EP, IME119-1EI, IME119-1ES, IME119-1EP, IME219-1EI, IME219-1ES, IME219-1EP, IME319-1EI, IME319-1ES, IME319-1EP, IME3122-1EI, IME3122-1ES, IME3122-1EP) и Vandal Resistant Mini Domes (IMES19-1VI, IMES19-1VS, IMES19-1VP, IME119-1VI, IME119-1VS, IME119-1VP, IME219-1VI, IME219-1VS, IME219-1VP, IME319-1VI, IME319-1VS, IME319-1VP, IME3122-1VI, IME3122-1VS, IME3122-1VP) до версии 2.2.3.0:
https://www.pelco.com/search#Asset%20Type!Firmware!11002,Cameras!Sarix%20IME%20Series%20Environmental!3016172,Cameras!Sarix%20IME%20Series%20Indoor%20Mini!3016169,Cameras!Sarix%20IME%20Vandal%20Mini!3016171/tab/documents

Для Box Cameras (IXES1, IXE11, IXE21, IXE31) до версии 2.2.3.0:
https://www.pelco.com/search#Cameras!Sarix%20IXE!3016155/tab/documents

Компенсирующие меры для Indoor Cameras (IMES19-1I, IMES19-1S, IMES19-1P, IME119-1I, IME119-1S, IME119-1P, IME219-1I, IME219-1S, IME219-1P, IME319-1I, IME319-1S, IME319-1P, IME319-B1I, IME319-B1S, IME319-B1P, IME3122-1I, IME3122-B1I, IME3122-1S, IME3122-B1S, IME3122-1P, IME3122-B1P):
Размещение сети систем управления и безопасности за брандмауэрами и изолирование от деловой сети
Установление физического контроля к ICS и контроллерам безопасноти, переферийному оборудованию или ICS и сетям безопасности.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2018-7816.
Прочая информация:
Тип ошибки CWE: CWE-264
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.schneider-electric.com/en/download/document/SEVD-2019-045-03

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *