Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en codificadores IPTV basados en hardware HiSilicon

Fecha de publicación 16/09/2020
Importancia
5 - Crítica
Recursos Afectados

Los fabricantes afectados por alguna de estas vulnerabilidades son:

  • URayTech;
  • J-Tech Digital;
  • VeCASTER PRO de Pro Video Instruments.

Otras marcas aún no han sido confirmadas.

Descripción

Se han publicado múltiples vulnerabilidades (4 críticas, 1 alta y 1 media) en varios dispositivos codificadores de vídeo sobre IP, también conocidos como codificadores de vídeo IPTV/H.264/H.265, que están basados en el hardware HiSilicon Hi3520d. Estas vulnerabilidades podrían permitir a un atacante remoto, no autenticado, ejecutar código arbitrario y realizar otras acciones no autorizadas en un sistema vulnerable.

Solución

Aplicar las últimas actualizaciones de su fabricante. Para más información consulte la sección de referencias.

Detalle

Las vulnerabilidades presentes en el software de los dispositivos codificadores de vídeo PTV/H.264/H.265 son del tipo:

  • Acceso administrativo completo mediante una contraseña de puerta trasera. Se ha reservado el identificador CVE-2020-24215 para esta vulnerabilidad.
  • Acceso administrativo de root mediante una contraseña de puerta trasera. Se ha reservado el identificador CVE-2020-24218 para esta vulnerabilidad.
  • Archivo arbitrario leído a través de path transversal. Se ha reservado el identificador CVE-2020-24219 para esta vulnerabilidad.
  • Subida de archivos no autenticados. Se ha reservado el identificador CVE-2020-24217 para esta vulnerabilidad.
  • Ejecución arbitraria de código mediante la carga de firmware malicioso. Se ha reservado el identificador CVE-2020-24217 para esta vulnerabilidad.
  • Ejecución de código arbitrario mediante inyección de comandos. Se ha reservado el identificador CVE-2020-24217 para esta vulnerabilidad.
  • Denegación de servicio por desbordamiento de búfer. Se ha reservado el identificador CVE-2020-24214 para esta vulnerabilidad.
  • Acceso no autorizado a la transmisión de vídeo a través de RTSP. Se ha reservado el identificador CVE-2020-24216 para esta vulnerabilidad.

Encuesta valoración