Cisco Video Surveillance 8000 Series IP Camera vor 1.0.9-4 Cisco Discovery Protocol erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.4 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Cisco Video Surveillance 8000 Series IP Camera ausgemacht. Betroffen davon ist ein unbekannter Prozess der Komponente Cisco Discovery Protocol Handler. Durch Beeinflussen mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2020-3507 geführt. Der Angriff muss über das lokale Netzwerk initiiert werden. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
In Cisco Video Surveillance 8000 Series IP Camera (Video Surveillance Software) wurde eine kritische Schwachstelle ausgemacht. Hierbei betrifft es ein unbekannter Ablauf der Komponente Cisco Discovery Protocol Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-20. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Multiple vulnerabilities in the Cisco Discovery Protocol implementation for Cisco Video Surveillance 8000 Series IP Cameras could allow an unauthenticated, adjacent attacker to execute code remotely or cause a reload of an affected IP camera. These vulnerabilities are due to missing checks when the IP cameras process a Cisco Discovery Protocol packet. An attacker could exploit these vulnerabilities by sending a malicious Cisco Discovery Protocol packet to the targeted IP camera. A successful exploit could allow the attacker to execute code on the affected IP camera or cause it to reload unexpectedly, resulting in a denial of service (DoS) condition. Note: Cisco Discovery Protocol is a Layer 2 protocol. To exploit these vulnerabilities, an attacker must be in the same broadcast domain as the affected device (Layer 2 adjacent).Die Schwachstelle wurde am 19.08.2020 als cisco-sa-ipcameras-rce-dos-uPy / CSCvu82728 / CSCvu82729 in Form eines bestätigten Advisories (Website) öffentlich gemacht. Das Advisory findet sich auf tools.cisco.com. Die Verwundbarkeit wird als CVE-2020-3507 geführt. Der Angriff kann im lokalen Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren auf die Version 1.0.9-4 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Cisco hat damit unmittelbar gehandelt.
Von weiterem Interesse können die folgenden Einträge sein: VDB-160098. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.cisco.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.8VulDB Meta Temp Score: 8.7
VulDB Base Score: 8.8
VulDB Temp Score: 8.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
Hersteller Base Score (Cisco): 8.8
Hersteller Vector (Cisco): 🔍
NVD Base Score: 8.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Video Surveillance 8000 Series IP Camera 1.0.9-4
Timeline
12.12.2019 🔍19.08.2020 🔍
19.08.2020 🔍
21.08.2020 🔍
10.11.2020 🔍
Quellen
Hersteller: cisco.comAdvisory: cisco-sa-ipcameras-rce-dos-uPy / CSCvu82728 / CSCvu82729
Status: Bestätigt
CVE: CVE-2020-3507 (🔍)
GCVE (CVE): GCVE-0-2020-3507
GCVE (VulDB): GCVE-100-160099
Siehe auch: 🔍
Eintrag
Erstellt: 21.08.2020 15:31Aktualisierung: 10.11.2020 17:04
Anpassungen: 21.08.2020 15:31 (52), 21.08.2020 15:36 (11), 10.11.2020 16:58 (1), 10.11.2020 17:04 (1)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.