JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) perspėja apie kritinį kelių „Honeywell“ vaizdo stebėjimo produktų pažeidžiamumą, leidžiantį neteisėtai pasiekti informacijos santraukas arba užgrobti paskyrą.
Aptikta tyrėjo Souvik Kanda ir pažymėta kaip CVE-2026-1670, saugumo problema klasifikuojama kaip „trūksta kritinės funkcijos autentifikavimo“ ir gavo kritinį 9,8 sunkumo balą.
Dėl šios klaidos neautentifikuotas užpuolikas gali pakeisti atkūrimo el. pašto adresą, susietą su įrenginio paskyra, leidžiant perimti paskyrą ir neleistiną prieigą prie fotoaparato informacijos santraukų.
„Paveiktas produktas yra pažeidžiamas neautentifikuoto API galinio taško poveikio, todėl užpuolikas gali nuotoliniu būdu pakeisti „pamiršto slaptažodžio“ atkūrimo el. pašto adresą“, – teigia CISA.
Remiantis saugos patarimu, CVE-2026-1670 veikia šiuos modelius:
- I-HIB2PI-UL 2MP IP 6.1.22.1216
- SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
- PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
- 25M IPC WDR_2MP_32M_PTZ_v2.0
„Honeywell“ yra pagrindinis pasaulinis saugumo ir vaizdo stebėjimo įrangos tiekėjas, turintis platų vaizdo stebėjimo kamerų modelių ir susijusių produktų asortimentą, naudojamą komercinėse, pramoninėse ir ypatingos svarbos infrastruktūros srityse visame pasaulyje.
Bendrovė siūlo daugybę NDAA suderinamų kamerų, tinkamų naudoti JAV vyriausybinėse agentūrose ir federaliniuose rangovuose.
Konkrečios modelių šeimos, įvardytos CISA patarime, yra vidutinio lygio vaizdo stebėjimo produktai, naudojami smulkaus ir vidutinio verslo aplinkoje, biuruose ir sandėliuose, kai kurie iš jų gali būti svarbiausių įrenginių dalis.
CISA nurodė, kad iki vasario 17 d. nebuvo žinomų pranešimų apie viešąjį išnaudojimą, nukreiptą būtent į šį pažeidžiamumą.
Nepaisant to, agentūra rekomenduoja kuo labiau sumažinti valdymo sistemos įrenginių poveikį tinkle, izoliuoti juos už ugniasienės ir naudoti saugius nuotolinės prieigos būdus, pavyzdžiui, atnaujintus VPN sprendimus, kai reikalingas nuotolinis ryšys.
„Honeywell“ nepaskelbė patarimo dėl CVE-2026-1670, tačiau vartotojams patariama susisiekti su bendrovės palaikymo komanda, kad gautų patarimus dėl pataisų.
Šiuolaikinė IT infrastruktūra juda greičiau, nei gali atlikti rankinės darbo eigos.
Šiame naujajame „Tines“ vadove sužinokite, kaip jūsų komanda gali sumažinti paslėptus rankinius delsus, pagerinti automatinio atsako patikimumą ir sukurti bei išplėsti intelektualias darbo eigas su jau naudojamais įrankiais.
