[Actualización 08/10/2021] Vulnerabilidad de CSRF en cámaras IP de Bosch
Fecha de publicación:
05/08/2021
Importancia:
4 -
Alta
Recursos afectados:
Recursos afectados:
- CPP4, versión 7.10;
- CPP6, versiones 7.60, 7.61, 7.70 y 7.80;
- AVIOTEC, versiones 7.61 y 7.72;
- CPP7, versiones 7.60, 7.61, 7.70, 7.72 y 7.80;
- CPP7 3, versiones 7.60, 7.61, 7.62, 7.70, 7.72, 7.73 y 7.80;
- CPP13, versión 7.75;
- CPP14, versión 8.00.
Descripción:
El investigador, Andrey Muravitsky, de Kaspersky ICS CERT, ha descubierto una vulnerabilidad de severidad alta por la que un atacante remoto, no autentificado, podría comprometer los sistemas afectados.
Solución:
Actualizar a la versión 7.81.0060:
- las versiones 7.70 y 7.80 de CPP6,
- las versiones 7.61 y 7.72 de AVIOTEC,
- las versiones 7.70, 7.72 y 7.80 de CPP7 y
- las versiones 7.70, 7.72, 7.73 y 7.80 de CPP7.3.
[Actualización 08/10/2021]
- Actualizar a la versión 8.10.0075 la versión 7.75 de CPP13.
- Actualizar a la versión 8.20.0126 la versión 8.00 de CPP14.
Para el resto de versiones, no existe una solución por el momento, por lo que se recomiendan las siguientes medidas de mitigación:
- Configurar la cámara mediante una herramienta de Bosch, como Configuration Manager, no vulnerable.
- Si se utiliza la interfaz de configuración basada en web, se recomienda:
- No abrir otros sitios web o correos electrónicos al tener una sesión activa,
- No hacer clic en enlaces de fuentes externas no confiables,
- Utilizar un navegador diferente al predeterminado para iniciar sesión,
- Cerrar sesión o cerrar el navegador para borrar los datos de la sesión.
Detalle:
Una vulnerabilidad de cross-site request forgery (CSRF) en la interfaz basada en web podría permitir a un atacante remoto no autentificado realizar acciones en el sistema afectado en nombre de otro usuario, mediante el engaño de la víctima para que haga clic en un enlace malicioso o abra un sitio web malicioso mientras está conectada a la cámara. A esta vulnerabilidad se le ha asignado el identificador CVE-2021-23849.
Referencias: