Üretici: Siemens
Önem Derecesi: Yüksek
CVSS Puanı: 8.8
Zafiyet Türü: Yanlış Yetkilendirme, Ayrıcalık Değiştirme, Eksik Yetkilendirme
Ürün Hakkında: Siveillance VMS, küçük ölçekli ölçekleme yapan güçlü bir IP VMS (Video Management Station) platform ailesidir.
Risk Hakkında
Web üzerinden sisteme erişim yetkisi olan saldırganın, bu güvenlik açıklarının başarıyla kullanılması aygıt özelliklerini, kullanıcı rollerini ve kullanıcı tanımlı olay özelliklerini değiştirebilir.
Etkiler
CVE-2019-6580 Geliştirici Yetkisi
Web üzerinden sisteme erişim yetkisi olan kullanıcı izinsiz olarak aygıt özelliklerini değiştirebilir.
CVE-2019-6581 Yanlış Kullanıcı Yetkilendirmesi
Web üzerinden sisteme erişim yetkisi olan kullanıcı uygun yetkilendirme olmadan kullanıcı rollerini değiştirebilir.
CVE-2019-6582 Eksik Yetkilendirme
Web üzerinden sisteme erişim yetkisi olan kullanıcı, aygıt özelliklerini, kullanıcı rollerini ve kullanıcı tanımlı olay özelliklerini değiştirebilir.
Çözüm Önerileri
Siveillance VMS etkilenen sürümleri :
- 2017 R2 v11.2a öncesi tüm versiyonlar
- 2018 R1 v12.1a öncesi tüm versiyonlar
- 2018 R2 v12.2a öncesi tüm versiyonlar
- 2018 R3 v12.3a öncesi tüm versiyonlar
- 2019 R1 v13.1a öncesi tüm versiyonlar
Zafiyetten etkilenen tüm ürünlerin güncelleştirme yamalarının yapılması gerekmektedir.
Siemens ayrıca, riski azaltmak için sistemin kurulu olduğu sunucuda dışarıya giden 80 nolu port bağlantılarının kısıtlanmasını önermektedir.
İlgili yama güncellemesine aşağıdaki linkten ulaşılabilir:
https://support.industry.siemens.com/cs/ww/en/ps/24899/dl
Referanslar
https://cert-portal.siemens.com/productcert/pdf/ssa-212009.pdf
https://cwe.mitre.org/data/definitions/285.html
https://cwe.mitre.org/data/definitions/286.html
https://cwe.mitre.org/data/definitions/862.html
https://ics-cert.us-cert.gov/advisories/ICSA-19-162-01