Home / Node / [Actualización 08/10/2021] Vulnerabilidad de CSRF en cámaras IP de Bosch

[Actualización 08/10/2021] Vulnerabilidad de CSRF en cámaras IP de Bosch

Publication date: 
08/05/2021
Importance: 
4 - Alta
Affected resources: 

Recursos afectados: 

  • CPP4, versión 7.10;
  • CPP6, versiones 7.60, 7.61, 7.70 y 7.80;
  • AVIOTEC, versiones 7.61 y 7.72;
  • CPP7, versiones 7.60, 7.61, 7.70, 7.72 y 7.80;
  • CPP7 3, versiones 7.60, 7.61, 7.62, 7.70, 7.72, 7.73 y 7.80;
  • CPP13, versión 7.75;
  • CPP14, versión 8.00.
Description: 

El investigador, Andrey Muravitsky, de Kaspersky ICS CERT, ha descubierto una vulnerabilidad de severidad alta por la que un atacante remoto, no autentificado, podría comprometer los sistemas afectados.

Solution: 

Actualizar a la versión 7.81.0060:

  • las versiones 7.70 y 7.80 de CPP6,
  • las versiones 7.61 y 7.72 de AVIOTEC,
  • las versiones 7.70, 7.72 y 7.80 de CPP7 y
  • las versiones 7.70, 7.72, 7.73 y 7.80 de CPP7.3.

[Actualización 08/10/2021]

  • Actualizar a la versión 8.10.0075 la versión 7.75 de CPP13.
  • Actualizar a la versión 8.20.0126 la versión 8.00 de CPP14.

Para el resto de versiones, no existe una solución por el momento, por lo que se recomiendan las siguientes medidas de mitigación:

  • Configurar la cámara mediante una herramienta de Bosch, como Configuration Manager, no vulnerable.
  • Si se utiliza la interfaz de configuración basada en web, se recomienda:
    • No abrir otros sitios web o correos electrónicos al tener una sesión activa,
    • No hacer clic en enlaces de fuentes externas no confiables,
    • Utilizar un navegador diferente al predeterminado para iniciar sesión,
    • Cerrar sesión o cerrar el navegador para borrar los datos de la sesión.
Detail: 

Una vulnerabilidad de cross-site request forgery (CSRF) en la interfaz basada en web podría permitir a un atacante remoto no autentificado realizar acciones en el sistema afectado en nombre de otro usuario, mediante el engaño de la víctima para que haga clic en un enlace malicioso o abra un sitio web malicioso mientras está conectada a la cámara. A esta vulnerabilidad se le ha asignado el identificador CVE-2021-23849.

Encuesta valoración