Идентификатор: BDU:2022-03880.
Наименование уязвимости: Уязвимость реализации технологии Bluetooth Low Energy (BLE) микропрограммного обеспечения камеры для видеоконференций Meeting Owl Pro, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом «грубой силы» (brute force).
Описание уязвимости: Уязвимость реализации технологии Bluetooth Low Energy (BLE) микропрограммного обеспечения камеры для видеоконференций Meeting Owl Pro связана с использованием предопределённого (hardcoded) пароля для учётных записей учетных данных, полученного из серийного номера устройства. Эксплуатация уязвимости может позволить нарушителю обойти существующие ограничения безопасности с помощью атаки методом «грубой силы» (brute force)
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства Owl Labs Meeting Owl Pro до 5.2.0.15 включительно |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 22.10.2021.
CVSS 2.0: AV:A/AC:L/Au:N/C:C/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)
Возможные меры по устранению:
Использование рекомендаций:
https://support.owllabs.com/s/knowledge/Meeting-Owl-Pro-Software-Release-Notes?language=en_US.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-31462.
Тип ошибки CWE: CWE-798
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://arstechnica.com/information-technology/2022/06/vulnerabilities-in-meeting-owl-videoconference-device-imperil-100k-users/
https://www.modzero.com/static/meetingowl/Meeting_Owl_Pro_Security_Disclosure_Report_RELEASE.pdf
https://nvd.nist.gov/vuln/detail/CVE-2022-31462
