AccueilActualités informatiqueJohnson Controls : des lacunes dans l'accès à distance à la vidéosurveillance

Johnson Controls : des lacunes dans l’accès à distance à la vidéosurveillance

Deux composants logiciels de la solution de vidéosurveillance « exacqVision » étaient attaquables à distance sans authentification préalable dans certaines conditions. Les conséquences possibles d’une attaque réussie auraient été le vol de données d’accès ou la paralysie temporaire des systèmes de surveillance. Des mises à jour importantes éliminent les passerelles : deux vulnérabilités de sécurité, dont l’une a été classée comme critique.

exacqVision est un produit de la société Johnson Controls ou de ses technologies associées Exacq, composé d’un logiciel de gestion vidéo (VMS), d’un enregistreur vidéo en réseau (NVR) et d’un serveur de stockage. Dans une description en allemand sur le site web de Johnson Controls, exacqVision est recommandé principalement pour « les applications liées à la sécurité dans l’éducation, les soins de santé, les entreprises et le commerce de détail ».

Outre Johnson Controls lui-même, l’autorité américaine CISA met également en garde contre les lacunes dans deux « ICS Advisories » et souligne le domaine de la « fabrication critique », c’est-à-dire les infrastructures critiques dans le domaine de la fabrication, comme un domaine d’application pour exacqVision.

Les composants suivants d’exacqVision sont vulnérables selon le fabricant et le CISA :

  • exacqVision Service Web dans les versions jusqu’à et y compris 21.06.11.0 et
  • exacqVision Server en version 32 bits jusqu’à et y compris 21.06.11.0.

Le service web contient la vulnérabilité critique CVE-2021-27664 (score CVSS 9.8). Selon la configuration (« si l’accès non authentifié est activé »), il pourrait y avoir une fuite des informations d’identification pour « d’autres systèmes connectés à exacqVision » stockées dans le composant serveur exacqVision. CVE-2021-27665 dans exacqVision Server (CVSS 7.5 / High) pourrait à son tour être abusé pour des attaques par déni de service via un script.

De plus amples détails sur les vulnérabilités ainsi que des informations sur les mises à jour et les mesures de protection supplémentaires sont disponibles dans les avis de Johnson Controls et de CISA :

  • Johnson Controls : Aperçu des avis actuels
  • ICSA-21-280-01 : Johnson Controls exacqVision
  • ICSA-21-280-03 : Johnson Controls exacqVision

Plus d'articles