D-Link IP kamerák sérülékenységei


2013. május 6. 09:14

CH azonosító

CH-9113

Angol cím

D-Link IP Cameras Security Issues

Felfedezés dátuma

2013.05.02.

Súlyosság

Alacsony

Érintett rendszerek

D-Link
DCS-1100/1130
DCS-2102/2121 Wired Megapixel Camera
DCS-3410
DCS-3411/3430
DCS-5230
DCS-5605/5635
DCS-6410
DCS-7410
DCS-7510

Érintett verziók

D-Link DCS-1100/1130
D-Link DCS-2102/2121 Wired Megapixel Camera
D-Link DCS-3410
D-Link DCS-3411/3430
D-Link DCS-5230
D-Link DCS-5605/5635
D-Link DCS-6410
D-Link DCS-7410
D-Link DCS-7510

Összefoglaló

D-Link IP kamerák olyan sérülékenységei váltak ismertté, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonági szabályokat.

Leírás

  1. A kamerák RTSP szolgáltatása fixen beépített (hardcoded) azonosítókat használ, ami kihasználható az RTSP videó streamhez történő hozzáférésre.
    A sérülékenység a következő termékeket és verziókat érinti:
    • DCS-1100/1130 1.03 verzió
    •  DCS-1100/1130 1.04_US verzió
    • DCS-1100L/1130L 1.04 verzió
    • DCS-2102/2121 1.05_RU verzió
    • DCS-2102/2121 1.05_TESCO verzió
    • DCS-2102/2121 1.06 verzió
    • DCS-2102/2121 1.06_FR verzió
    • DCS-3410 1.02 verzió
    • DCS-3411/3430 1.02 verzió
    • DCS-5230 1.02 verzió
    • DCS-5230L 1.02 verzió
    • DCS-5605/5635  1.01 verzió
    • DCS-6410 1.00 verzió
  2. Az eszköz nem korlátozza megfelelően a hozzáférést a upnp/asf-mp4.asf fájlhoz a web könyvtárban, ami kihasználható a videó streamhez történő hozzáférésre azonosítás nélkül.
    A sérülékenység a következő termékeket és verziókat érinti:
    • DCS-2102/2121 v1.05_RU verzió
    • DCS-2102/2121 v1.06 verzió
    • DCS-2102/2121 v1.06_FR verzió
    • DCS-2102/2121 v1.05_TESCO verzió
  3. Az eszköz nem korlátozza megfelelően a hozzáférést az RTSP szolgáltatáshoz, ami kihasználható a videó streamhez történő hozzáférésre azonosítás nélkül.
    A sérülékenység a következő termékeket és verziókat érinti:
    • DCS-1100 1.02 verzió
    • DCS-1100/1130 1.03 verzió
    • DCS-1100/1130 1.04_US verzió
    • DCS-1100L/1130L 1.04 verzió
    • DCS-2102/2121 1.05_RU verzió
    • DCS-2102/2121 1.05_TESCO verzió
    • DCS-2102/2121 1.06 verzió
    • DCS-2102/2121 1.06_FR verzió
    • DCS-3410 1.02 verzió
    • DCS-3411/3430 1.02 verzió
    • DCS-5230 1.02 verzió
    • DCS-5230L 1.02 verzió
    • DCS-5605/5635  1.01 verzió
    • DCS-6410 1.00 verzió
    • DCS-7410 1.00 verzió
    • DCS-7510 1.00 verzió

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Authentication Issues (Hitelesítés)
Misconfiguration (Konfiguráció)
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: forums.dlink.com
Egyéb referencia: www.coresecurity.com
SECUNIA 53236
SECUNIA 53211
CVE-2013-1600 - NVD CVE-2013-1600
CVE-2013-1602 - NVD CVE-2013-1602
CVE-2013-1603 - NVD CVE-2013-1603

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »