De Kiloview P1 en P2 4G Video Encoders zijn essentiële hardware-oplossingen voor het streamen van video-informatie in HDMI-formaat. Recentelijk zijn er echter ernstige kwetsbaarheden ontdekt in de firmware van deze apparaten. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om verschillende soorten aanvallen uit te voeren. Dit document geeft een overzicht van de geïdentificeerde problemen, mogelijke gevolgen en biedt adviezen voor gebruikers.

—

### Samenvatting van de Kwetsbaarheden

Er zijn meerdere ernstige kwetsbaarheden ontdekt in de firmware van Kiloview P1 en P2, waaronder:

– **Insufficiently Protected Credentials**: Gebruikersnamen en wachtwoorden zijn onvoldoende beveiligd.
– **Improper Input Validation**: Niet alle ingevoerde gegevens worden adequaat gecontroleerd.
– **Gebruik van een Onveilige Cryptografische Algoritme**: Er wordt gebruik gemaakt van niet betrouwbare encryptie-algoritmen.
– **Authentication Bypass**: Mogelijkheid om authenticatie te omzeilen.
– **Weak Password Requirements**: Gebruikerswachtwoorden zijn niet sterk genoeg.
– **Missing Authentication for Critical Functions**: Belangrijke functies missen authenticatie vereisten.
– **Cross-Site Scripting (XSS)**: Onvoldoende beveiliging tegen scripts via de webinterface.
– **Gebruik van Hard-coded Credentials**: Wachtwoorden zijn hard gecodeerd en kunnen niet worden gewijzigd.
– **Downloaden van Code Zonder Integriteitscontrole**: Er is geen controle op de integriteit van gedownloade firmware.

—

### Beschrijving van de Kwetsbaarheden

Kiloview P1 en P2 encoders bevatten meerdere beveiligingsproblemen door zwakke plekken in de firmware:

– **Hard-coded credentials**: Deze maken het mogelijk voor aanvallers om toegang te krijgen tot het systeem.
– **Geen encryptie op de webinterface**: Hierdoor kan communicatie worden afgeluisterd en vertrouwelijke gegevens onderschept, zoals gebruikersnamen en wachtwoorden.
– **Mogelijkheid om zonder authenticatie firmware te vervangen**: Hierdoor kunnen kwaadwillenden de werking van het systeem manipuleren.

Deze gebreken kunnen gezamenlijk leiden tot het volledig overnemen van het systeem door een aanvaller, wat leidt tot beheersing over alle streamed data en toegang tot gevoelige informatie.

—

### Impact op Beveiliging

Kiloview P1 en P2 kwetsbaarheden kunnen ernstige gevolgen hebben, zoals:

– **Cross-Site Scripting (XSS)**
– **Authentication Bypass**
– **Denial-of-Service (DoS)**
– **Gegevensmanipulatie**
– **(Remote) Code Execution met admin/root rechten**
– **Toegang tot gevoelige gegevens**

—

### Advies en Verbanden

**Oplossingen:**
De leverancier heeft besloten de kwetsbaarheden in de firmware niet te verhelpen in de meest recente updates. Hoewel enkele beveiligingsupdates zijn uitgebracht voor centrale serversystemen, blijven de apparaten zelf kwetsbaar. Gebruikers wordt geadviseerd om na te gaan hoe deze risico’s invloed hebben op hun gebruik en om passende beveiligingsmaatregelen te treffen. Het NCSC biedt geen specifieke datum voor toekomstige updates of oplossingen van de leverancier.

**Link naar het volledige advies:** [NCSC-2024-0273](https://advisories.ncsc.nl/advisory?id=NCSC-2024-0273)

—

### CVE Details

Voor een volledige lijst van de specifieke kwetsbaarheden, kunt u de volgende CVE referenties raadplegen:
– [CVE-2023-41917](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41917)
– [CVE-2023-41918](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41918)
– [CVE-2023-41919](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41919)
– [CVE-2023-41920](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41920)
– [CVE-2023-41921](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41921)
– [CVE-2023-41922](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41922)
– [CVE-2023-41923](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41923)
– [CVE-2023-41926](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41926)
– [CVE-2023-41927](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41927)
– [CVE-2023-41928](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41928)

—

### Vrijwaring

Bij gebruik van deze beveiligingsadvies gelden de volgende voorwaarden. Dit advies is zorgvuldig samengesteld door het NCSC, maar kan niet garanderen dat alle informatie volledig, accuraat of up-to-date is. Dit advies is bedoeld als algemene informatie voor professionele partijen. Er kunnen geen rechten worden ontleend aan de informatie in dit beveiligingsadvies. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade voortvloeiend uit het gebruik of de onmogelijkheid tot gebruik van dit advies. Nederlands recht is van toepassing en geschillen zullen worden voorgelegd aan de bevoegde rechter in Den Haag.

—

Door op deze manier geïnformeerd te blijven en passende maatregelen te nemen, kunt u bijdragen aan een betere beveiliging van uw systemen en data.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----