【漏洞通告】Owl Labs Meeting Owl Pro信息泄露漏洞(CVE-2022-31460)

发布时间 2022-06-08


0x00 漏洞概述

CVE   ID

CVE-2022-31460

发现时间

2022-06-07

类     型

信息泄露

等     级

高危

远程利用


影响范围


攻击复杂度

用户交互

PoC/EXP


在野利用


 

0x01 漏洞详情

Meeting Owl Pro 是Owl Labs公司的一款视频会议设备,它在政府、教育等行业中被广泛使用。

2022年6月6日,Owl Labs发布安全更新,修复了Meeting Owl Pro 和 Whiteboard Owl中的一个信息泄露漏洞(CVE-2022-31460),该漏洞的CVSS评分为7.4。Owl Labs Meeting Owl 5.2.0.15 中可通过特定的c 150 值使用硬编码的 hoothoot 凭据激活Tethering模式。

除CVE-2022-31460外,Meeting Owl Pro 和 Whiteboard Owl中还存在多个安全漏洞:

l  CVE-2022-31459:Owl Labs Meeting Owl 5.2.0.15中可使用蓝牙通过特定c 10值检索密码哈希,该漏洞的CVSS评分为7.4。

l  CVE-2022-31461:Owl Labs Meeting Owl 5.2.0.15 中可通过特定 c 11 消息停用密码保护机制,该漏洞的CVSS评分为7.4。

l  CVE-2022-31462:Owl Labs Meeting Owl 5.2.0.15中允许使用在蓝牙广播数据中发现的后门密码(源自序列号)来控制设备,该漏洞的CVSS评分为9.3。

l  CVE-2022-31463:Owl Labs Meeting Owl 5.2.0.15中不要求蓝牙密码,因为只使用客户端认证,该漏洞的CVSS评分为8.2。

 

影响范围

Owl Labs Meeting Owl 5.2.0.15

 

0x02 安全建议

目前Owl Labs已在Meet Owl Pro 和 Whiteboard Owl版本 5.4.1.4中修复了CVE-2022-31460,受影响的用户可以选择升级更新到此版本。

下载链接:

https://support.owllabs.com/s/knowledge/Meeting-Owl-Pro-Software-Release-Notes?language=en_US

https://support.owllabs.com/s/knowledge/Whiteboard-Owl-Software-Release-Notes?language=en_US

 

0x03 参考链接

https://www.cisa.gov/uscert/ncas/current-activity/2022/06/07/owl-labs-releases-security-updates-meeting-owl-pro-and-whiteboard

https://www.modzero.com/static/meetingowl/Meeting_Owl_Pro_Security_Disclosure_Report_RELEASE.pdf

https://arstechnica.com/information-technology/2022/06/vulnerabilities-in-meeting-owl-videoconference-device-imperil-100k-users/

 

0x04 版本信息

版本

日期

修改内容

V1.0

2022-06-08

首次发布

 

0x05 附录

公司简介

启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。

公司总部位于北京市中关村软件园,在全国各省、市、自治区设有分支机构,拥有覆盖全国的渠道体系和技术支持中心,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。

多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。


关于我们

启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。

关注以下公众号,获取全球最新安全资讯:

image.png