L’Agence Nationale de Sécurité Informatique (ANSI) met en garde les utilisateurs de systèmes de vidéo conférence Huawei, d’une faille critique touchant le module SCCPX (tunCERT/Vuln.2018-064). L’exploitation de ces failles pourrait permettre à un attaquant distant, via des paquets spécifiquement conçus, de causer un déni de service.
Le module SCCPX implémente le protocole «Skinny Client Control Protocol » dans les produits «Huawei » pour le transfert des informations audiovisuelles entres les intervenants d’une conférence via les réseaux TCP / IP.
Les personnes cibles par ces vulnérabilités sont les conférenciers tels que les docteurs, les professeurs universitaires, les managers d’entreprises avec leurs partenaires, etc.
Module SCCPX pour les produits Huawei Critique :
Versions affectées:
_ DP300 V500R002C00
_ RP200 V500R002C00, V600R006C00
_ TE30 V100R001C10, V500R002C00, V600R006C00
_ TE40 V500R002C00, V600R006C00
_ TE50 V500R002C00, V600R006C00
_ TE60 V100R001C10, V500R002C00, V600R006C00
Comme solution, l’ANSI recommande aux utilisateurs de contacter leur fournisseur Huawei le plus proche afin d’obtenir les patchs correctifs.
Tekiano avec communiqué