PT-2022-25615 · Aiphone · Aiphone Gt-Db-Vn+1
Cameron Palmer
·
Publicado
2022-11-14
·
Atualizado
2022-11-22
·
CVE-2022-40903
CVSS v3.1
6.5
Média
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Aiphone GT-DMB-N versão 1.0.3
Aiphone GT-DMB, GT-DMB-N e GT-DMB-LVN versões anteriores à 3.00
Aiphone GT-DB-VN versões 2.00 ou anteriores
Descrição
A vulnerabilidade permite que um invasor obtenha privilégios administrativos explorando a falta de proteção contra tentativas repetidas de acesso malsucedidas. Isso pode ser feito usando uma etiqueta NFC para realizar um ataque de força bruta ao código de quatro dígitos, permitindo que o invasor extraia a senha de administrador. Uma vez obtida a senha, o invasor pode adicionar uma nova etiqueta NFC ao sistema, concedendo acesso ao prédio. Os produtos afetados não armazenam registros de acesso, dificultando a detecção de acessos não autorizados pelas organizações.
Recomendações
Para o Aiphone GT-DMB-N versão 1.0.3, considere substituir o equipamento, pois a vulnerabilidade não pode ser resolvida com uma atualização de software.
Para as versões do Aiphone GT-DMB, GT-DMB-N e GT-DMB-LVN anteriores à 3.00, substitua o equipamento por uma versão lançada após 7 de dezembro de 2021.
Para as versões 2.00 ou anteriores do Aiphone GT-DB-VN, substitua o equipamento por uma versão lançada após 7 de dezembro de 2021.
Como solução alternativa temporária, considere restringir o acesso ao leitor NFC para minimizar o risco de exploração.
Correção
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aiphone Gt-Db-Vn
Aiphone Gt-Dmb