每日IoT安全动态(20191101)

资讯

1、ZTE ZXMP 安全漏洞

ZTE ZXMP M721是中国中兴通讯（ZTE）公司的一款城域边缘OTN（光传送网）设备。 ZTE ZXMP M721V3.10P01B10_M2NCP版本中的管理端口存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。

2、Bitdefender BOX 安全漏洞

Bitdefender BOX是罗马尼亚比特梵德（Bitdefender）公司的一款智能家居安全控制设备。 使用2.1.37.37-34之前版本固件的Bitdefender BOX中存在安全漏洞。攻击者可借助Web API利用该漏洞向BOX设备注入任意代码。

3、Advantech WISE-PaaS/RMM SQL注入漏洞

Advantech WISE-PaaS/RMM是中国台湾研华（Advantech）公司的一套物联网设备远程监控管理平台。该平台支持基于云的集中式远程IPC、IoT设备硬件和软件状态监视和管理，支持远程电源开/关和调度、数据采集??与存储等功能。 Advantech WISE-PaaS/RMM 3.3.29及之前版本中存在SQL注入漏洞。攻击者可利用该漏洞泄露信息。

Advantech WISE-PaaS/RMM 3.3.29及之前版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。

Advantech WISE-PaaS/RMM 3.3.29及之前版本中存在路径遍历漏洞，该漏洞源于程序在进行文件操作之前没有正确验证用户提交的路径。攻击者可利用该漏洞执行代码。

Advantech WISE-PaaS/RMM 3.3.29及之前版本中存在安全漏洞。攻击者可利用该漏洞未经身份验证使用设备上的功能。

4、Coinkite Coldcard MK1和Coldcard MK2 安全漏洞


Coinkite Coldcard MK1和Coldcard MK2都是Coinkite公司的一款基于硬件的比特币钱包设备。 Coinkite Coldcard MK1和Coldcard MK2中存在安全漏洞。攻击者可利用该漏洞恢复敏感数据，例如PIN和BIP39助记符。

5、Honeywell equIP系列、Performance系列IP摄像头和Recorders 安全漏洞

Honeywell equIP等都是美国霍尼韦尔（Honeywell）公司的产品。Honeywell equIP是一款equIP系列IP摄像机产品。Honeywell Performance是一款Performance系列IP摄像机产品。Honeywell Recorders是一款Recorders系列网络视频录像机产品。 Honeywell equIP系列、Performance系列IP摄像头和Recorders中存在安全漏洞。攻击者可利用该漏洞实施回放攻击。以下产品及版本受到影响：Honeywell equIP H2W2GR1；equIP H3W2GR1；equIP H3W2GR1V等；Performance H2W2PC1M；Performance H2W2PER3；Performance H2W2PRV3等；Recorder HEN04102；Recorder HEN04112等。

6、F5 BIG-IP AFM SQL注入漏洞

F5 BIG-IP AFM是美国F5公司的一款用于防护DDos攻击的高级防火墙产品。 F5 BIG-IP AFM中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。以下产品及版本受到影响：F5 BIG-IP AFM 15.0.0版本至15.0.1版本，14.0.0版本至14.1.2版本，13.1.0版本至13.1.3版本，12.1.0版本至12.1.5版本。

7、多款Honeywell产品输入验证错误漏洞

Honeywell equIP H4L2GR1等都是美国霍尼韦尔（Honeywell）公司的一款IP摄像机。 多款Honeywell产品中存在输入验证错误漏洞。攻击者可借助特制的HTTP数据包请求利用该漏洞造成拒绝服务。以下产品及版本受到影响：Honeywell equIP H4L2GR1；equIP HBL2GR1；equIP HCL2G；equIP H4W2GR1；equIP H4W2GR2；equIP H4W4GR1；equIP H3W2GR1；equIP H3W2GR2；equIP H3W4GR1；equIP HBW2GR1；equIP HBW4GR1；equIP HBW2GR3；equIP HCW2G ；equIP HCW4G。

8、ZTE ZX297520V3 命令注入漏洞

ZTE ZX297520V3是中国中兴通讯（ZTE）公司的一款工业级4G模组。 ZTE ZX297520V3 7520V3V1.0.0B09P27及之前版本中存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

9、ZTE 9000E 输入验证漏洞

ZTE 9000E是中国中兴通讯（ZTE）公司的一款运营商级多业务分组平台产品。 ZTE 9000EV5.0R1B12及之前的版本中存在输入验证漏洞，攻击者可利用该漏洞进行未授权操作。

ZTE 9000E 9000EV5.0R1B12及之前的版本中存在权限许可和访问控制问题漏洞，攻击者可以利用该漏洞直接设置更改其它账户的密码。