Vulnerabilidad de CSRF en cámaras IP de Bosch

Fecha de publicación: 05/08/2021

Importancia:
Alta

Recursos afectados:

Recursos afectados: 

• CPP4, versión 7.10;
• CPP6, versiones 7.60, 7.61, 7.70 y 7.80;
• AVIOTEC, versiones 7.61 y 7.72;
• CPP7, versiones 7.60, 7.61, 7.70, 7.72 y 7.80;
• CPP7 3, versiones 7.60, 7.61, 7.62, 7.70, 7.72, 7.73 y 7.80;
• CPP13, versión 7.75;
• CPP14, versión 8.00.

Descripción:

El investigador, Andrey Muravitsky, de Kaspersky ICS CERT, ha descubierto una vulnerabilidad de severidad alta por la que un atacante remoto, no autentificado, podría comprometer los sistemas afectados.

Solución:

Actualizar a la versión 7.81.0060:

• las versiones 7.70 y 7.80 de CPP6,
• las versiones 7.61 y 7.72 de AVIOTEC,
• las versiones 7.70, 7.72 y 7.80 de CPP7 y
• las versiones 7.70, 7.72, 7.73 y 7.80 de CPP7.3.

Para el resto de versiones, no existe una solución por el momento, por lo que se recomiendan las siguientes medidas de mitigación:

• Configurar la cámara mediante una herramienta de Bosch, como Configuration Manager, no vulnerable.
• Si se utiliza la interfaz de configuración basada en web, se recomienda:
  • No abrir otros sitios web o correos electrónicos al tener una sesión activa,
  • No hacer clic en enlaces de fuentes externas no confiables,
  • Utilizar un navegador diferente al predeterminado para iniciar sesión,
  • Cerrar sesión o cerrar el navegador para borrar los datos de la sesión.

Detalle:

Una vulnerabilidad de cross-site request forgery (CSRF) en la interfaz basada en web podría permitir a un atacante remoto no autentificado realizar acciones en el sistema afectado en nombre de otro usuario, mediante el engaño de la víctima para que haga clic en un enlace malicioso o abra un sitio web malicioso mientras está conectada a la cámara. A esta vulnerabilidad se le ha asignado el identificador CVE-2021-23849.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad