SIVEILLANCE VMS (Video İçerik Yönetim Sistemi) Yetkilendirme Zafiyetleri

Üretici: Siemens

Önem Derecesi: Yüksek

CVSS Puanı: 8.8

Zafiyet Türü: Yanlış Yetkilendirme, Ayrıcalık Değiştirme, Eksik Yetkilendirme

Ürün Hakkında: Siveillance VMS, küçük ölçekli ölçekleme yapan güçlü bir IP VMS (Video Management Station) platform ailesidir.

Risk Hakkında

Web üzerinden sisteme erişim yetkisi olan saldırganın, bu güvenlik açıklarının başarıyla kullanılması aygıt özelliklerini, kullanıcı rollerini ve kullanıcı tanımlı olay özelliklerini değiştirebilir.

Etkiler

CVE-2019-6580 Geliştirici Yetkisi

Web üzerinden sisteme erişim yetkisi olan kullanıcı izinsiz olarak aygıt özelliklerini değiştirebilir.

CVE-2019-6581 Yanlış Kullanıcı Yetkilendirmesi

Web üzerinden sisteme erişim yetkisi olan kullanıcı uygun yetkilendirme olmadan kullanıcı rollerini değiştirebilir.

CVE-2019-6582 Eksik Yetkilendirme

Web üzerinden sisteme erişim yetkisi olan kullanıcı, aygıt özelliklerini, kullanıcı rollerini ve kullanıcı tanımlı olay özelliklerini değiştirebilir.

Çözüm Önerileri

Siveillance VMS etkilenen sürümleri :

  • 2017 R2 v11.2a öncesi tüm versiyonlar
  • 2018 R1 v12.1a öncesi tüm versiyonlar
  • 2018 R2 v12.2a öncesi tüm versiyonlar
  • 2018 R3 v12.3a öncesi tüm versiyonlar
  • 2019 R1 v13.1a öncesi tüm versiyonlar

Zafiyetten etkilenen tüm ürünlerin güncelleştirme yamalarının yapılması gerekmektedir.

Siemens ayrıca, riski azaltmak için sistemin kurulu olduğu sunucuda dışarıya giden 80 nolu port bağlantılarının kısıtlanmasını önermektedir.

 

İlgili yama güncellemesine aşağıdaki linkten ulaşılabilir:

https://support.industry.siemens.com/cs/ww/en/ps/24899/dl


Referanslar

https://cert-portal.siemens.com/productcert/pdf/ssa-212009.pdf

https://cwe.mitre.org/data/definitions/285.html

https://cwe.mitre.org/data/definitions/286.html

https://cwe.mitre.org/data/definitions/862.html

https://ics-cert.us-cert.gov/advisories/ICSA-19-162-01