Wybrane urządzenia GeoVision serii GV-VS11, GV-VS12 oraz GV-DSP LPR, które osiągnęły koniec wsparcia (EOL), zawierają krytyczną podatność typu command injection umożliwiającą zdalne wykonanie dowolnych poleceń systemowych. Podatność jest aktywnie wykorzystywana przez atakujących, co zostało potwierdzone przez producenta oraz organizację CISA.
▸ Pokaż oryginał (EN)
Certain EOL GeoVision devices have an OS Command Injection vulnerability. Unauthenticated remote attackers can exploit this vulnerability to inject and execute arbitrary system commands on the device. Moreover, this vulnerability has already been exploited by attackers, and we have received related reports.
Podatność wynika z braku odpowiedniego filtrowania danych wejściowych przekazywanych do funkcji systemowych urządzenia (CWE-78 — OS Command Injection). Nieuwierzytelniony atakujący zdalnie może przesłać spreparowane żądanie zawierające złośliwe polecenia systemowe, które zostają wykonane bezpośrednio przez system operacyjny urządzenia. Brak wymogu jakiegokolwiek uwierzytelnienia sprawia, że atak jest możliwy do przeprowadzenia przez każdego użytkownika mającego dostęp sieciowy do urządzenia. Potwierdzono aktywne wykorzystywanie tej podatności w środowiskach produkcyjnych.
Atakujący może przejąć pełną kontrolę nad urządzeniem poprzez wykonanie dowolnych poleceń systemowych, co zagraża poufności, integralności i dostępności danych oraz samego urządzenia. Skutkiem może być włączenie urządzenia do botnetu lub wykorzystanie go jako punktu wejścia do dalszych ataków w sieci.
Producent nie wydaje już aktualizacji dla urządzeń EOL — zaleca się natychmiastowe odizolowanie tych urządzeń od sieci publicznej i wewnętrznej lub ich wymianę na aktualnie wspierane modele. Należy ograniczyć dostęp do interfejsów zarządzania wyłącznie do zaufanych adresów IP za pomocą firewall lub VPN. Szczegółowe zalecenia dostępne są pod adresami wskazanymi przez TWCERT oraz CISA.
Urządzenia GeoVision będące w statusie EOL (koniec wsparcia): GV-VS12 (wraz z firmware), GV-VS11 (wraz z firmware) oraz GV-DSP LPR (wraz z firmware). Szczegółowe wersje firmware wskazane są w referencjach producenta.
Podatność jest aktywnie eksploitowana — informację tę potwierdzili zarówno producent (GeoVision), jak i CISA w katalogu Known Exploited Vulnerabilities. Urządzenia objęte podatnością mają status EOL, co oznacza brak możliwości uzyskania oficjalnego patcha.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HGeovision Gv Dsp Lpr
HWGeovision3.0Geovision Gv Dsp Lpr Firmware
OSGeovisionwszystkie wersjeGeovision Gvlx 4
HWGeovision2.03.0Geovision Gvlx 4 Firmware
OSGeovisionwszystkie wersjeGeovision Gv Vs11
HWGeovisionwszystkie wersjeGeovision Gv Vs11 Firmware
OSGeovisionwszystkie wersjeGeovision Gv Vs12
HWGeovisionwszystkie wersjeGeovision Gv Vs12 Firmware
OSGeovisionwszystkie wersje
CISA KEV — szczegółyi
- Dostawcai
- GeoVision
- Produkti
- Multiple Devices
- Data dodania do KEVi
- 7 maja 2025
- Termin remediation (USA)i
- 28 maja 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 w odniesieniu do usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Wiele urządzeń GeoVision zawiera lukę OS command injection, która pozwala zdalnym, nieuwierzytelnionym atakującym na wstrzykiwanie i wykonywanie dowolnych poleceń systemowych. Dotknięte produkty mogą być na koniec żywotności (EoL) i/lub koniec serwisu (EoS). Użytkownicy powinni zaprzestać korzystania z produktu.
▸ Pokaż oryginał (EN)
Multiple GeoVision devices contain an OS command injection vulnerability that allows a remote, unauthenticated attacker to inject and execute arbitrary system commands. The impacted products could be end-of-life (EoL) and/or end-of-service (EoS). Users should discontinue product utilization.
Powiązane podatności
Command injection w urządzeniach GeoVision EOL — zdalne wykonanie poleceń
Stack overflow w GeoVision GV-VMS — nieuwierzytelnione RCE przez WebCam Server
Command injection w GeoVision LPC2011/LPC2211 via konfiguracja DDNS
Privilege escalation w interfejsie Web GeoVision LPC2011/LPC2211
Wyciek poświadczeń przez słabe szyfrowanie w GeoVision GV-IP Device Utility