شرکت Brivo محصولات کنترل دسترسی مبتنی بر ابر و نظارت تصویری را برای امنیت فیزیکی و کاربردهای اینترنت اشیاء ارائه میدهد. به تازگی 2 آسیبپذیری در محصولات این شرکت شناسایی شده است که جزئیات آن به شرح ذیل میباشد.
• CVE-2023-6259 : یک آسیبپذیری از نوع Improper Access Control که به مهاجم اجازه حمله از طریق بازیابی رمز عبور و دور زدن لایه امنیت فیزیکی را میدهد.(با شدت 7.6)
• CVE-2023-6260 : این آسیبپذیری از نوع خنثیسازی نادرست عناصر ویژه میباشد که به مهاجم اجازه حملهCommand Injection به UI صفحات وب و همینطور دور زدن لایه امنیت فیزیکی این محصولات را میدهد.(با شدت 9.0)
بر اساس بردار حمله این آسیبپذیری (AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H) بهرهبرداری از آن نیاز به مجاورت شبکه دارد. باید از همان شبکه فیزیکی یا منطقی انجام شود.( AV:A) ، سوءاستفاده از این آسیبپذیری نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز ندارد(AC:L) ، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین دارد (PR:L) ، به تعامل با کاربر نیز نیاز نیست (UI:N) ، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و و در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین)، با سوءاستفاده از این آسیبپذیری، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند.
محصولات تحت تأثیر
این آسیبپذیری قطعأ در نسخه 6.2.4.3 و قبل از آن و در مدلهای ACS100, ACS300تاثیر میگذارد و ممکن است در مدلهای ACS6000 , ACSSDC نیز تاثیرپذیر باشد.
توصیههای امنیتی
کاربران باید هرچه سریعتر محصول خود را به نسخه 6.2.5 یا بالاتر ارتقاء دهند.
منابع خبر:
[1] https://support.brivo.com/l/en/article/g82txdwepa-brivo-firmware-release-notes#brivo_firmware_relea…;
[2] https://sra.io/advisories/
- 23