DNSC avertizează că mai multe vulnerabilități critice au fost descoperite la mai multe produse Honeywell de supraveghere video

„CVE-2026-1670 este o vulnerabilitate critică cu scor CVSS v3.1 de 9.8 (CRITIC), confirmată şi de către U.S. Cybersecurity and Infrastructure Security Agency (CISA), care afectează mai multe produse Honeywell CCTV. Problema permite unui potenţial atacator să acceseze de la distanţă un endpoint API expus fără autentificare pentru a schimba adresa de e-mail utilizată la recuperarea parolei, ceea ce poate duce la preluarea contului şi, implicit, la acces neautorizat la sistemul de supraveghere.

Vulnerabilitatea apare din cauza lipsei autentificării pentru o funcţie critică (CWE-306 – Missing Authentication for Critical Function). Exploatarea se poate face prin reţea, fără a necesita privilegii iniţiale şi fără interacţiunea utilizatorului. În practică, atacatorul poate seta o adresă de e-mail controlată de el ca adresă de recuperare, după care poate iniţia fluxul de resetare a parolei pentru a obţine acces la cont sau dispozitiv (scenariu de account takeover)”, se arată în comunicat, transmite Agerpres.

Utilizatorii sunt sfătuiţi să contacteze compania Honeywell pentru detalii privind actualizarea firmware-ului.

Pe lista produselor şi versiunilor vulnerabilese află: Honeywell I-HIB2PI-UL 2MP IP – 6.1.22.1216; Honeywell SMB NDAA MVO-3 – WDR_2MP_32M_PTZ_v2.0; Honeywell PTZ WDR 2MP 32M – WDR_2MP_32M_PTZ_v2.0; Honeywell 25M IPC – WDR_2MP_32M_PTZ_v2.0.

Specialiştii vin cu o serie de recomandări legate de preîntâmpinarea apariţiei unor probleme: actualizările furnizate de vendor, prin obţinerea firmware-ului corect prin canalele Honeywell şi rularea upgrade-ului după o testare prealabilă într-un mediu controlat; eliminarea expunerii la Internet prin evitarea publicării interfeţelor de administrare sau a endpoint-urilor API în exterior şi păstrarea accesului doar din reţele de încredere; segmentarea reţelei şi controlul de acces prin izolarea echipamentelor CCTV într-o zonă dedicată şi restricţionarea administrării la un număr mic de staţii autorizate sau printr-un „jump host” (o staţie intermediară securizată, folosită ca punct unic de administrare).

De asemenea, este nevoie de asigurarea „acces remote” controlat folosind VPN atunci când este necesar accesul de la distanţă şi aplicând politici stricte, precum „allowlist” pe bază de IP, conturi nominale şi autentificare puternică (MFA – Autentificarea multi-factor, acolo unde este disponibilă).

„Consolidaţi monitorizarea şi detecţia prin urmărirea modificărilor neobişnuite ale setărilor de cont (în special e-mailul de recuperare), a evenimentelor de resetare a parolei şi a autentificărilor din surse sau locaţii neobişnuite. Se recomandă dezactivarea funcţiei UPnP (Universal Plug and Play) atât la nivelul router-ului/firewall-ului, cât şi la nivelul echipamentelor de supraveghere, pentru a preveni deschiderea automată a porturilor către Internet şi expunerea interfeţelor vulnerabile”, se menţionează în comunicatul citat.