В Honeywell Maxpro VMS и NVR исправлены опасные уязвимости

В Honeywell Maxpro VMS и NVR исправлены опасные уязвимости

Alexander Antipov

Уязвимости позволяют получить полный контроль над системами видеонаблюдения.

image

Исследователь безопасности Джоаким Кершбаумер (Joachim Kerschbaumer) обнаружил уязвимости в решениях для управления системами видеонаблюдения Honeywell Maxpro VMS и NVR, позволяющие злоумышленникам получить полный контроль над ними.

Уязвимость CVE-2020-6959 связана с небезопасной десериализацией недоверенных данных и позволяет атакующему с помощью особым образом сконфигурированного запроса удаленно модифицировать десериализованные данные и добиться выполнения кода.

Уязвимость CVE-2020-6959 позволяет осуществить SQL-инъекцию и получить удаленный доступ к web-интерфейсу панели администрирования.

По оценке ICS-CERT, обе уязвимости являются критическими, поскольку их может проэксплуатировать удаленно даже неавторизованный малоопытный хакер. Однако сам производитель не считает их таковыми и уверяет , что проэксплуатировать уязвимости не так-то просто.

Для обеих уязвимостей уже выпущены исправления, а PoC-эксплоита на данный момент не существует.

Проблемы затрагивают следующие версии продуктов:

HNMSWVMS до VMS560 Build 595 T2-Patch;

HNMSWVMSLT до VMS560 Build 595 T2-Patch;

MAXPRO NVR XE до NVR 5.6 Build 595 T2-Patch;

MAXPRO NVR SE до NVR 5.6 Build 595 T2-Patch;

MAXPRO NVR PE до Version NVR 5.6 Build 595 T2-Patch;

MPNVRSWXX до NVR 5.6 Build 595 T2-Patch.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab