Múltiples vulnerabilidades en sistemas de notificación masiva de emergencias de ATI Systems
- HPSS16
- HPSS32
- MHPSS
- ALERT4000
Balint Seeber de Bastille ha reportado una vulnerabilidad de autenticación inadecuada y otra de falta de cifrado que afectan a diferentes dispositivos de notificación masiva de emergencias de ATI Systems. Un potencial atacante podría provocar falsas alarmas.
ATI Systems ha creado un parche que añade nuevas funcionalidades de seguridad a los paquetes enviados vía radio. ATI Systems está probando el parche y será distribuido bajo petición, además indica que muchos sistemas están diseñados específicamente para los usuarios y son estos los que deben asegurarse de que las actualizaciones sean apropiadas para sus sistemas.
ATI Systems recomienda que, cuando sea posible los sistemas de radio de voz simple sean sustituidos por sistemas de radio digitales P-25 (APCO), que proporcionan enlaces cifrados seguros.
- Autenticación inadecuada: Un paquete de radio especialmente malformado podría permitir a un potencial atacante lanzar alarmas falsas de forma remota. Se ha reservado el identificador CVE-2018-8862 para esta vulnerabilidad.
- Falta de cifrado de datos sensibles: Un paquete de radio especialmente malformado podría permitir a un potencial atacante lanzar alarmas falsas de forma remota. Se ha reservado el identificador CVE-2018-8864 para esta vulnerabilidad.