Mirasys Video Management System bis 6.4.5/7.5.14/8.1.0 Login schwache Verschlüsselung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Es wurde eine problematische Schwachstelle in Mirasys Video Management System bis 6.4.5/7.5.14/8.1.0 ausgemacht. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Login. Durch Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-310 vorgenommen. Dies wirkt sich aus auf die Vertraulichkeit. CVE fasst zusammen:
Mirasys Video Management System (VMS) 6.x before 6.4.6, 7.x before 7.5.15, and 8.x before 8.1.1 has a login process in which cleartext data is sent from a server to a client, and not all of this data is required for the client functionality.Am 18.09.2017 wurde das Problem entdeckt. Die Schwachstelle wurde am 12.10.2017 (Website) publik gemacht. Auf ipvm.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 12.10.2017 unter CVE-2017-15290 geführt. Sie gilt als schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1600 für diese Schwachstelle.
Insgesamt wurde die Schwachstelle mindestens 24 Tage als nicht öffentlicher Zero-Day gehandelt. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Ein Upgrade auf die Version 6.4.6, 7.5.15 oder 8.1.1 vermag dieses Problem zu beheben.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.5
VulDB Base Score: 3.7
VulDB Temp Score: 3.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-310
ATT&CK: T1600
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Video Management System 6.4.6/7.5.15/8.1.1
Timeline
18.09.2017 🔍12.10.2017 🔍
12.10.2017 🔍
12.10.2017 🔍
13.10.2017 🔍
24.11.2019 🔍
Quellen
Advisory: ipvm.comStatus: Nicht definiert
CVE: CVE-2017-15290 (🔍)
Eintrag
Erstellt: 13.10.2017 09:04Aktualisierung: 24.11.2019 15:28
Anpassungen: 13.10.2017 09:04 (59), 24.11.2019 15:28 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.