Mise à jour de sécurité Creston Electronics

Numéro : AV16-124
Date : Le 4 août 2016

Objet

L'objectif de cet avis est d'attirer l'attention sur de multiples vulnérabilités de l'interface web de gestion de DM-TXRX-100-STR par Creston Electronics.

Évaluation

Creston Electronics a publié une mise à jour de sécurité afin d'adresser 5 vulnérabilités critiques pour l'interface web de DM-TXRX-100-STR. L'exploitation de ces vulnérabilités permet le contournement d'authentification ainsi que la falsification de requête extra-site. Les appareils visés contiennent aussi des authentifiants codé en dur ainsi que clé de chiffrement publiquement connue.

Versions Affectées :
DM-TXRX-100-STR Antérieur à la version 1.3039.00040

Références CVE: CVE-2016-5666, CVE-2016-5667, CVE-2016-5668, CVE-2016-5669, CVE-2016-5670.

Une vulnérabilité (CVE-2016-5671) n'a pas été corrigée, et une mise à jour micrologiciel prochaine sera émise par le manufacturier.

Mesure suggérée

Le CCRIC recommande que les administrateurs de système mettent à l'essai et déploient les mises à jour diffusées par le fournisseur aux applications concernées en conséquence. Pour la vulnérabilité non corrigée, les administrateurs de système devraient surveiller la sortie de la mise à jour et par la suite déployer la gestion des mises à jour tel qu'établit. Tous appareils utilisant les authentifiants par défauts devraient être réinitialisé avec un mot de passe complexe.

Références

Téléchargement du vendeur :   
https://www.crestron.com/resources/resource-library/firmware (en anglais)

Avis :
http://www.kb.cert.org/vuls/id/974424 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5666 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5667 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5668 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5669 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5670 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5671 (en anglais)

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :