Home Aviso Oficial
Aviso de seguridad: riesgos de seguridad detectados en ciertos productos de Uniview
2022-08-02

Aviso de seguridad: riesgos de seguridad detectados en ciertos productos de Uniview

Uniview considera la ciberseguridad como una prioridad máxima. Creemos que la transparencia y la concienciación son claves para construir una sólida seguridad cibernética. Recientemente, el investigador de seguridad independiente Knud Højgaard informó sobre tres vulnerabilidades relacionadas con la ciberseguridad. Los equipos de ciberseguridad e I+D de Uniview investigaron inmediatamente la situación y desarrollaron una actualización de parche que corrige dichas vulnerabilidades.

Uniview reconoce y valora la importancia de la seguridad de los datos y la ciberseguridad, y no escatimará esfuerzos para mantenerlas seguras para nuestros clientes. Un equipo de expertos y profesionales de Uniview es responsable de monitorear de cerca cualquier vulnerabilidad potencial de forma regular. Se han aplicado procedimientos y regulaciones estrictas para garantizar notificaciones oportunas y respuestas rápidas si se detecta alguna vulnerabilidad.

Mientras tanto, se recomienda encarecidamente actualizar a la versión parcheada. No dude en contactar con el canal de compra del equipo, la línea directa 400 de Uniview o el personal regional de posventa si necesita ayuda.

Para los productos con capacidad de actualización en la nube, las versiones de reparación correspondientes pueden obtenerse mediante actualización en la nube.

ID de SA: USRC-202208-01

Resumen

Se han detectado las siguientes vulnerabilidades de seguridad en ciertos productos:

Vulnerabilidad 1: Las credenciales del dispositivo pueden ser modificadas a través del puerto SNMP (puerto UDP 161).
Evaluación del riesgo: Este puerto no se asigna automáticamente a Internet. A menos que el usuario lo asigne manualmente a través del router u otro dispositivo de red, no es posible explotar esta vulnerabilidad para atacar dispositivos en la red de área local (LAN) o red privada desde Internet.

Vulnerabilidad 2: La función de recuperación de contraseña en algunas versiones antiguas presenta fallos y puede ser utilizada por atacantes para secuestrar los dispositivos afectados.
Evaluación de la vulnerabilidad: No es posible un ataque directo desde Internet contra dispositivos en la red de área local (LAN) o red privada aprovechando esta vulnerabilidad.

Vulnerabilidad 3: Existe una vulnerabilidad de ejecución de comandos en la función de prueba NAS después de que el usuario inicie sesión en la interfaz web del dispositivo.
Evaluación de la vulnerabilidad: Esta vulnerabilidad solo puede ser explotada después de que el atacante supere la autenticación del usuario. No puede utilizarse directamente para atacar dispositivos en Internet, LAN o red privada.

Puntuación de vulnerabilidades:

Se adopta el sistema CVSS v3 para la puntuación de estas vulnerabilidades (http://www.first.org/cvss/specification-document)

Vulnerabilidad 1:

  • Puntuación base: 8.6 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)

  • Puntuación temporal: 7.7 (E:P/RL:O/RC:R)

Vulnerabilidad 2:

  • Puntuación base: 8.1 (AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)

  • Puntuación temporal: 7.3 (E:P/RL:O/RC:R)

Vulnerabilidad 3:

  • Puntuación base: 8.0 (AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)

  • Puntuación temporal: 7.2 (E:P/RL:O/RC:R)

Versiones afectadas y versiones corregidas

Vulnerabilidad 1:

Versión afectada

Versión corregida

QIPC-B9101.7.8.211207 and earlier

QIPC-B9101.8.3.220209 and later

QIPC-B8701.10.7.211105 and earlier

QIPC-B8701.11.3.220209 and later

QIPC-B6302.2.10.211105 and earlier

QIPC-B6302.5.6.220304 and later

QIPC-B6301.9.11.211105 and earlier

QIPC-B6301.11.3.220209 and later

QIPC-B2202.3.75.211207 and earlier

QIPC-B2202.5.8.220304 and later

QIPC-B2201.10.7.211105 and earlier

QIPC-B2201.11.6.220304 and later

QIPC-B1208.7.7.210705 and earlier

QIPC-B1208.7.9.220415 and later

QIPC-R1207.8.37.211122 and earlier

QIPC-R1207.8.39.220415 and later

QIPC-R1206.9.36.211122 and earlier

QIPC-R1206.9.38.220415 and later

QIPC-B1203.16.8.211105 and earlier

QIPC-B1203.16.10.220415 and later

QIPC-R1201.30.38.211122 and earlier

QIPC-R1201.30.41.220415 and later

HCMN-B2201.6.7.210705 and earlier

HCMN-B2201.6.9.220415 and later

HCMN-R2108.13.37.211122 and earlier

HCMN-R2108.13.39.220415 and later

HCMN-R2103.28.38.211122 and earlier

HCMN-R2103.28.41.220415 and later

GIPC-B6106.8.42.211122 and earlier

GIPC-B6106.8.47.220427 and later

GIPC-B6103.16.37.211122 and earlier

GIPC-B6103.16.39.220416 and later

GIPC-B6102.26.41.211122 and earlier

GIPC-B6102.26.43.220415 and later

CIPC-B2302.3.65.211102 and earlier

CIPC-B2302.5.8.220304 and later

CIPC-B2301.5.37.211122 and earlier

CIPC-B2301.5.39.220415 and later

GIPC-B6206.1.69.211220 and earlier

GIPC-B6206.1.70.220309 and later

IPC_G6107-B0001P99D1806 and earlier

IPC_G6107-B0002P61D1806 and later

GIPC-B6202.5.79.211217 and earlier

GIPC-B6202.5.82.220121 and later

GIPC-B6203.3.79.211217 and earlier

GIPC-B6203.3.82.220121 and later

DIPC-B1213.2.67.211221 and earlier

DIPC-B1213.2.70.220329 and later

DIPC-B1216.2.65.211220 and earlier

DIPC-B1216.2.71.220324 and later

DIPC-B1221.1.77.220218 and earlier

DIPC-B1221.1.80.220329 and later

DIPC-B1222.1.67.211222 and earlier

DIPC-B1222.1.70.220317 and later

DIPC-B1223.1.78.211209 and earlier

DIPC-B1223.1.81.220402 and later

DIPC-B1225.1.67.211210 and earlier

DIPC-B1225.1.69.220329 and later

DIPC-B1226.1.61.220121 and earlier

DIPC-B1226.1.66.220317 and later

DIPC-B1219.1.87.211213 and earlier

DIPC-B1219.1.92.220228 and later

Vulnerabilidad 2:

Versión afectada

Versión corregida

QIPC-R1207.8.37.211122 and earlier

QIPC-R1207.8.39.220415 and later

QIPC-R1206.9.36.211122 and earlier

QIPC-R1206.9.38.220415 and later

QIPC-R1201.30.38.211122 and earlier

QIPC-R1201.30.41.220415 and later

HCMN-R2108.13.37.211122 and earlier

HCMN-R2108.13.39.220415 and later

HCMN-R2103.28.38.211122 and earlier

HCMN-R2103.28.41.220415 and later

GIPC-B6106.8.42.211122 and earlier

GIPC-B6106.8.47.220427 and later

GIPC-B6103.16.37.211122 and earlier

GIPC-B6103.16.39.220416 and later

GIPC-B6102.26.41.211122 and earlier

GIPC-B6102.26.43.220415 and later

CIPC-B2301.5.37.211122 and earlier

CIPC-B2301.5.39.220415 and later

DIPC-B1213.2.67.211221 and earlier

DIPC-B1213.2.70.220329 and later

DIPC-B1216.2.65.211220 and earlier

DIPC-B1216.2.71.220324 and later

DIPC-B1221.1.77.220218 and earlier

DIPC-B1221.1.80.220329 and later

DIPC-B1222.1.67.211222 and earlier

DIPC-B1222.1.70.220317 and later

DIPC-B1223.1.78.211209 and earlier

DIPC-B1223.1.81.220402 and later

DIPC-B1225.1.67.211210 and earlier

DIPC-B1225.1.69.220329 and later

DIPC-B1226.1.61.220121 and earlier

DIPC-B1226.1.66.220317 and later

IPC_D1202-B0007P77D1904 and earlier

IPC_D1202-B0007P79D1904 and later

IPC_G6107-B0001P99D1806 and earlier

IPC_G6107-B0002P61D1806 and later

Vulnerabilidad 3:

Versión afectada

Versión corregida

QIPC-B9101.7.8.211207 and earlier

QIPC-B9101.8.3.220209 and later

QIPC-B8701.10.7.211105 and earlier

QIPC-B8701.11.3.220209 and later

QIPC-B6302.2.10.211105 and earlier

QIPC-B6302.5.6.220304 and later

QIPC-B6301.9.11.211105 and earlier

QIPC-B6301.11.3.220209 and later

QIPC-B2202.3.75.211207 and earlier

QIPC-B2202.5.8.220304 and later

QIPC-B2201.10.7.211105 and earlier

QIPC-B2201.11.6.220304 and later

QIPC-B1208.7.7.210705 and earlier

QIPC-B1208.7.9.220415 and later

QIPC-R1207.8.37.211122 and earlier

QIPC-R1207.8.39.220415 and later

QIPC-R1206.9.36.211122 and earlier

QIPC-R1206.9.38.220415 and later

QIPC-B1203.16.8.211105 and earlier

QIPC-B1203.16.10.220415 and later

QIPC-R1201.30.38.211122 and earlier

QIPC-R1201.30.41.220415 and later

HCMN-B2201.6.7.210705 and earlier

HCMN-B2201.6.9.220415 and later

HCMN-R2108.13.37.211122 and earlier

HCMN-R2108.13.39.220415 and later

HCMN-R2103.28.38.211122 and earlier

HCMN-R2103.28.41.220415 and later

GIPC-B6106.8.42.211122 and earlier

GIPC-B6106.8.47.220427 and later

GIPC-B6103.16.37.211122 and earlier

GIPC-B6103.16.39.220416 and later

GIPC-B6102.26.41.211122 and earlier

GIPC-B6102.26.43.220415 and later

CIPC-B2302.3.65.211102 and earlier

CIPC-B2302.5.8.220304 and later

CIPC-B2301.5.37.211122 and earlier

CIPC-B2301.5.39.220415 and later

GIPC-B6202.5.82.220121 and earlier

GIPC-B6202.5.88.220329 and later

GIPC-B6203.3.82.220121 and earlier

GIPC-B6203.3.88.220329 and later

DIPC-B1213.2.67.211221 and earlier

DIPC-B1213.2.70.220329 and later

DIPC-B1216.2.65.211220 and earlier

DIPC-B1216.2.71.220324 and later

DIPC-B1221.1.77.220218 and earlier

DIPC-B1221.1.80.220329 and later

DIPC-B1222.1.67.211222 and earlier

DIPC-B1222.1.70.220317 and later

DIPC-B1223.1.78.211209 and earlier

DIPC-B1223.1.81.220402 and later

DIPC-B1225.1.67.211210 and earlier

DIPC-B1225.1.69.220329 and later

DIPC-B1226.1.61.220121 and earlier

DIPC-B1226.1.66.220317 and later

GIPC-B6206.1.69.211220 and earlier

GIPC-B6206.1.70.220309 and later

IPC_D1202-B0007P77D1904 and earlier

IPC_D1202-B0007P79D1904 and later

IPC_D1203-B0003P73D1812 and earlier

IPC_D1203-B0003P75D1812 and later

IPC_G6107-B0001P99D1806 and earlier

IPC_G6107-B0002P61D1806 and later

IPC_G6108-B0001P83D1809 and earlier

IPC_G6108-B0001P86D1809 and later

Obtención de la versión corregida:

Por favor, obtenga la versión corregida y realice la actualización. Para ello, póngase en contacto con el canal de distribución, la línea directa de servicio o el soporte técnico regional para obtener ayuda.

Agradecimiento

Agradecemos el apoyo del investigador de seguridad independiente Knud Højgaard, quien descubrió estas vulnerabilidades y las reportó a Uniview.

Contáctenos:

Si tiene cualquier problema o inquietud de seguridad con nuestros productos, por favor escríbanos a security@uniview.com

Back