Kritische Sicherheitslücken in Milesight DeviceHub

06.06.2024 - Warnmeldung

Die CSBW warnt vor sechs Schwachstellen, vier davon sind kritisch, in der Sensorverwaltungssoftware DeviceHub des Herstellers Milesight. Updates sind keine bekannt.

Mann hält Smartphone in der Hand und Ausrufezeichen als Warnung erscheint über dem Handy

INCD wertet vier Schwachstellen als kritisch

Forscherinnen und Forscher des Cybersicherheitsunternehmens Claroty meldeten Ende Mai 2024 mehrere Sicherheitslücken im Programm DeviceHub von Milesight. Milesight stellt unter anderem Sensoren für Smart Devices und zur Video-Überwachung her. Mit DeviceHub können diese Sensoren verwaltet und gesteuert werden.

Die folgenden Schwachstellen in der Software stuft das Israel National Cyber Directorate (INCD) als kritisch ein:

CVE-2024-36388, CVSS-Score: 10
CVE-2024-27776, CVSS-Score: 9.8
CVE-2024-36389, CVSS-Score: 9.8
CVE-2024-36391, CVSS-Score: 9.1

Angreifenden ermöglichen die Sicherheitslücken auf unzureichend geschützte Funktionen zuzugreifen, sich in DeviceHub anzumelden, Remote Code Execution (RCE) zu betreiben und Man-In-The-Middle-Attacken auszuführen.

Zu allen Schwachstellen existieren bisher keine Updates oder Fixes. Nutzenden ist daher zu äußerster Vorsicht und Prüfung ihrer Systeme auf Betroffenheit geraten. Zudem sollten Anwendende regelmäßig prüfen, ob Updates verfügbar sind und diese umgehend installieren.

Weitere Informationen

INCD: Details zu den Schwachstellen (engl.)