MOBOTIX HUB Management Server - mögliche Remote Code Ausführung durch einen authentifizierten Benutzer.
Datum der Veröffentlichung: 09.05.2023
ZUSAMMENFASSUNG
MOBOTIX hat ein Software-Update für MOBOTIX HUB VMS veröffentlicht, das eine Sicherheitslücke behebt, die eine Remote Code Execution durch einen authentifizierten Benutzer auf dem Management Server-Dienst ermöglicht.
BETROFFENE PRODUKTE UND LÖSUNGEN
- MOBOTIX HUB Management Server 2023 R1
- MOBOTIX HUB Management Server 2022 R3
- MOBOTIX HUB-Verwaltungsserver 2022 R2
- MOBOTIX HUB-Verwaltungsserver 2022 R1
- MOBOTIX HUB-Verwaltungsserver 2021 R2
- MOBOTIX HUB-Verwaltungsserver 2021 R1
- MOBOTIX HUB-Verwaltungsserver 2020 R3
- MOBOTIX HUB-Verwaltungsserver 2020 R2
WORKAROUNDS UND ABHILFEN
Derzeit sind keine Workarounds bekannt. Bitte aktualisieren Sie Ihr System mit dem aktuellen MOBOTIX HUB Security Patch 2023R1!
https://www.mobotix.com/de/node/18659
In den Versionshinweisen finden Sie weitere Informationen:
https://www.mobotix.com/sites/default/files/2023-05/Versionshinweise_für_MOBOTIX_HUB_Software.html
ALLGEMEINE SICHERHEITSEMPFEHLUNGEN
Als allgemeine Sicherheitsmaßnahme empfiehlt MOBOTIX dringend, den Netzwerkzugriff auf betroffene
Produkte mit geeigneten Mechanismen zu schützen. Es wird empfohlen, die im MOBOTIX Hardening Guide empfohlenen Sicherheitsmaßnahmen zu befolgen, um die Geräte in einer geschützten IT-Umgebung zu betreiben.
Bitte beachten Sie unsere aktuelle Version von Cyber Security & Data Protection:
PRODUKTBESCHREIBUNG
Der Management-Server ist die zentrale Komponente des VMS-Systems. Er speichert die Konfiguration des
Überwachungssystems in einer SQL-Datenbank, entweder auf einem SQL-Server auf dem Management-Server-Computer selbst oder auf einem separaten SQL-Server im Netzwerk. Außerdem verwaltet er die Benutzerauthentifizierung, die Benutzerberechtigungen,
das Regelsystem und vieles mehr. Um die Systemleistung zu verbessern, können Sie mehrere Management-Server als
eine MOBOTIX HUB-Federated Architecture betreiben. Der Management-Server läuft als Dienst und wird in der Regel
auf einem dedizierten Server installiert.
Die Benutzer stellen eine Verbindung zum Verwaltungsserver her, um sich zu authentifizieren, und dann transparent zu den Aufzeichnungsservern, um auf Videoaufzeichnungen usw. zuzugreifen. Aufzeichnungsservern für den Zugriff auf Videoaufzeichnungen usw.
EINSTUFUNG DER SCHWACHSTELLE
Die Klassifizierung der Schwachstellen wurde mit Hilfe des CVSS-Scoring-Systems in der Version 3.1 (CVSS
v3.1) (https://www.first.org/cvss). Die CVSS-Umgebungsbewertung ist spezifisch für die Umgebung des Kunden und wirkt sich auf die CVSS-Gesamtpunktzahl aus. Die Umgebungsbewertung sollte daher vom Kunden individuell festgelegt werden, um eine endgültige Bewertung zu erreichen.
Zum Zeitpunkt der Veröffentlichung des Hinweises war keine öffentliche Ausnutzung dieser Sicherheitslücke bekannt.
MOBOTIX bestätigt die Sicherheitslücke und bietet Abhilfemaßnahmen zur Behebung des Sicherheitsproblems an.
CVSS v3.1 Basiswert 9.9
CVSS Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
ZUSÄTZLICHE INFORMATIONEN
Für Rückfragen zu Sicherheitslücken in MOBOTIX Systems Produkten wenden Sie sich bitte an den MOBOTIX Support!