Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos de Bosch

Fecha de publicación: 30/01/2020

Importancia: Crítica

Recursos afectados:

  • Bosch BVMS Viewer, versiones.
    • anteriores e incluyendo a 7.5;
    • anteriores e incluyendo a 10.0.0.1225, con la configuración patch for security issue 211404, 241463 not installed;
  • Bosch Video Management System, versiones:
    • anteriores e incluyendo a 7.5;
    • anteriores e incluyendo a 10.0.0.1225, con la configuración patch for security issue 211404, 241463 not installed;
  • Bosch DIVAR IP, modelos:
    • 7000, con la configuración vulnerable BVMS version installed o vulnerable BVMS MVS version installed;
    • all-in-one 5000, con las configuraciones vulnerable BVMS version installed o vulnerable VSG version installed;
    • 5000, para versiones anteriores e incluyendo 3.80.0039, con la configuración port 8023 on device's firewall opened explicitly and vulnerable VSG version installed;
    • 3000, con la configuración vulnerable VSG version installed o vulnerable BVMS MVS version installed;
    • 2000, para versiones anteriores e incluyendo 3.62.0019, con la configuración port 8023 on device's firewall opened explicitly and vulnerable VSG version installed;
  • Bosch Video Streaming Gateway, versiones:
    • desde 6.42 y anteriores hasta e incluyendo 6.42.10;
    • desde 6.43 hasta e incluyendo 6.43.0023;
    • desde 6.44 hasta e incluyendo 6.44.0030;
    • desde 6.45 hasta e incluyendo 6.45.08;
  • Bosch BVMS Mobile Video Service, versiones:
    • anteriores e incluyendo a 7.5;
    • anteriores e incluyendo a 8.0.0.329, con la configuración patch for security issue 243748 not installed;
    • anteriores e incluyendo a 9.0.0.827, con la configuración patch for security issue 243748 not installed;
    • anteriores e incluyendo a 10.0.0.1225, con la configuración patch for security issue 243748 not installed;

Descripción:

Se han reportado 4 vulnerabilidades, 2 críticas y 2 altas, que afectan a múltiples dispositivos de Bosch. La explotación exitosa de estas vulnerabilidades permitiría a un atacante remoto realizar ataques de ejecución de código de forma aleatoria, cambiar la configuración de VSG, acceder a información y obtener ficheros sensibles de los dispositivos.

Solución:

Bosch recomienda actualizar los dispositivos afectados a una versión actualizada a la que no afecten dichas vulnerabilidades, que se encuentran en las secciones de Affected Hardware y Affected Software de cada aviso.

Detalle:

  • Un atacante, remoto y no autenticado, podría aprovechar una vulnerabilidad de acceso a rutas no controlado (path traversal) y afectar al servicio BVMS (Bosch Video Management System). Se han reservado los identificadores CVE-2020-6768 y CVE-2020-6767 para esta vulnerabilidad.
  • Un atacante remoto, a través de la interfaz de red, podría aprovechar una vulnerabilidad de falta de autenticación para acceder a los dispositivos BVSG (Bosch Video Streaming Gateway) y recuperar o modificar datos de configuración arbitrarios. Se ha reservado el identificador CVE-2020-6769 para esta vulnerabilidad.
  • Un atacante remoto, a través de la interfaz de red, podría aprovechar una vulnerabilidad de deserialización de datos no confiables para ejecutar código arbitrario. Se ha reservado el identificador CVE-2020-6770 para esta vulnerabilidad.

Etiquetas: Actualización, Comunicaciones, Vulnerabilidad