CRITICAL🇬🇧 English

CVE-2019-20461

Brak uwierzytelniania w protokole UDP kamer Alecto IVM-100

CVSS 9.8v3.1pub. 2024-11-07upd. 2026-04-15

Urządzenia Alecto IVM-100 używają niestandardowego protokołu UDP do zarządzania strumieniami wideo i audio, który nie wymaga podania nazwy użytkownika ani hasła. Atakujący posiadający zakodowany identyfikator UID kamery może uzyskać pełny dostęp do jej obrazu i dźwięku przez Internet.

Pokaż oryginał (EN)

An issue was discovered on Alecto IVM-100 2019-11-12 devices. The device uses a custom UDP protocol to start and control video and audio services. The protocol has been partially reverse engineered. Based upon the reverse engineering, no password or username is ever transferred over this protocol. Thus, one can set up the camera connection feed with only the encoded UID. It is possible to set up sessions with the camera over the Internet by using the encoded UID and the custom UDP protocol, because authentication happens at the client side.

🤖 Analiza AI
Jak działa

Kamera Alecto IVM-100 komunikuje się z klientami za pomocą własnego protokołu UDP, w którym uwierzytelnianie odbywa się wyłącznie po stronie klienta. Podczas nawiązywania sesji protokół nigdy nie przesyła nazwy użytkownika ani hasła — jedynym wymaganym elementem jest zakodowany UID urządzenia. Po uzyskaniu lub odgadnięciu tego identyfikatora możliwe jest zestawienie sesji z kamerą bezpośrednio przez Internet bez jakiejkolwiek weryfikacji tożsamości. Protokół został częściowo poddany inżynierii wstecznej, co potwierdza brak mechanizmów uwierzytelniających.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do strumienia wideo i audio kamery, co prowadzi do naruszenia prywatności monitorowanego obszaru. W zależności od kontekstu wdrożenia może to skutkować kompletną utratą poufności obrazu z monitoringu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako obejście zaleca się izolację kamer od bezpośredniego dostępu z Internetu poprzez umieszczenie ich za firewall lub w sieci VPN oraz ograniczenie ruchu UDP do zaufanych adresów IP.

Kogo dotyczy

Urządzenia Alecto IVM-100 z firmware datowanym na 2019-11-12

Uwagi

Podatność została ujawniona publicznie w serwisie Full Disclosure w lipcu 2024 roku, pomimo że dotyczy firmware z listopada 2019 roku. Protokół UDP kamery został częściowo poddany inżynierii wstecznej przez badacza, który opublikował wyniki analizy.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2019-20461 — Brak uwierzytelniania w protokole UDP kamer Alecto IVM-100 — CRITICAL 9.8 | CVEbaza.pl