Opis podatności

CERT Polska otrzymał zgłoszenie o lukach w oprogramowaniu układowym kamer Smartwares CIP-37210AT i C724IP oraz uczestniczył w koordynacji ich ujawnienia.

CVE-2024-13892: Podczas procesu inicjalizacji użytkownik używa aplikacji mobilnej, aby dostarczyć urządzeniom dane uwierzytelniające punktu dostępowego. Dane te nie są odpowiednio sprawdzane, co umożliwia wstrzyknięcie poleceń.

CVE-2024-13893: Podatne urządzenia używają tych samych danych uwierzytelniających dla usługi telnet, a hash hasła można uzyskać poprzez fizyczny dostęp do pamięci SPI. Grupy urządzeń i zakresy oprogramowania układowego, w których używane jest to samo hasło, pozostają nieznane, ponieważ producent nie odpowiedział na nasze wiadomości. Aby usługa telnet była włączona, włożona karta SD musi mieć utworzony folder o określonej nazwie.

CVE-2024-13894: Gdy podatne urządzenie jest podłączone do aplikacji mobilnej, otwiera port 10000, umożliwiając użytkownikowi pobieranie zdjęć wykonanych w określonych momentach poprzez podanie ścieżek do plików. Jednak katalogi, do których użytkownik ma dostęp, nie są ograniczone, co umożliwia ataki typu path traversal i pobieranie wrażliwych informacji.

Producent nie odpowiedział na zgłoszenia, status poprawek pozostaje więc nieznany. Nowsze wersje oprogramowania układowego mogą być nadal podatne, podobnie jak inne produkty korzystające z tego samego oprogramowania (przetestowano tylko kamery CIP-37210AT oraz C724IP).

Podziękowania

Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi oraz Marcinowi Wyczechowskiemu z zespołu Afine.