Vulnerabilidad de CSRF en cámaras IP de Bosch

Fecha de publicación: 05/08/2021

Importancia:
Alta

Recursos afectados:

Recursos afectados: 

  • CPP4, versión 7.10;
  • CPP6, versiones 7.60, 7.61, 7.70 y 7.80;
  • AVIOTEC, versiones 7.61 y 7.72;
  • CPP7, versiones 7.60, 7.61, 7.70, 7.72 y 7.80;
  • CPP7 3, versiones 7.60, 7.61, 7.62, 7.70, 7.72, 7.73 y 7.80;
  • CPP13, versión 7.75;
  • CPP14, versión 8.00.

Descripción:

El investigador, Andrey Muravitsky, de Kaspersky ICS CERT, ha descubierto una vulnerabilidad de severidad alta por la que un atacante remoto, no autentificado, podría comprometer los sistemas afectados.

Solución:

Actualizar a la versión 7.81.0060:

  • las versiones 7.70 y 7.80 de CPP6,
  • las versiones 7.61 y 7.72 de AVIOTEC,
  • las versiones 7.70, 7.72 y 7.80 de CPP7 y
  • las versiones 7.70, 7.72, 7.73 y 7.80 de CPP7.3.

Para el resto de versiones, no existe una solución por el momento, por lo que se recomiendan las siguientes medidas de mitigación:

  • Configurar la cámara mediante una herramienta de Bosch, como Configuration Manager, no vulnerable.
  • Si se utiliza la interfaz de configuración basada en web, se recomienda:
    • No abrir otros sitios web o correos electrónicos al tener una sesión activa,
    • No hacer clic en enlaces de fuentes externas no confiables,
    • Utilizar un navegador diferente al predeterminado para iniciar sesión,
    • Cerrar sesión o cerrar el navegador para borrar los datos de la sesión.

Detalle:

Una vulnerabilidad de cross-site request forgery (CSRF) en la interfaz basada en web podría permitir a un atacante remoto no autentificado realizar acciones en el sistema afectado en nombre de otro usuario, mediante el engaño de la víctima para que haga clic en un enlace malicioso o abra un sitio web malicioso mientras está conectada a la cámara. A esta vulnerabilidad se le ha asignado el identificador CVE-2021-23849.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.