Introducció
El portal CERT de Siemens[1], ha publicat una vulnerabilitat classificada com a crítica trobada al Siemens Siveillance Video Mobile Server V2022 R2[2].
Análisis
Un component del Mobile Server no gestiona correctament l’inici de sessió per als comptes de l’Active Directory que formen part del grup Administradors. Això podria permetre que un atacant remot no autenticat accedeixi a l’aplicació sense un compte vàlid. La vulnerabilitat, de severitat crítica, té assignada l’identificador CVE-2022-43400, mitjançant la manipulació d’un input desconegut es causa una vulnerabilitat de classe autenticació feble. Els efectes exactes d’un atac amb èxit no són coneguts i tampoc no es coneixen exploits disponibles.
Recomanacions
Actualitzant la versió 22.2a s’elimina aquesta vulnerabilitat.
Referències
[1] SSA-640732: Authentication Bypass Vulnerability in Siveillance Video Mobile Server[2] Siveillance™ Video Advanced Data Sheet