Badan Keamanan Siber dan Infrastruktur AS (CISA) memperingatkan adanya kerentanan kritis pada beberapa produk CCTV Honeywell yang memungkinkan akses tidak sah ke feed atau pembajakan akun.
Ditemukan oleh peneliti Souvik Kanda dan dilacak sebagai CVE-2026-1670, masalah keamanan diklasifikasikan sebagai “otentikasi yang hilang untuk fungsi kritis,” dan menerima skor tingkat keparahan kritis sebesar 9,8.
Cacat ini memungkinkan penyerang yang tidak diautentikasi mengubah alamat email pemulihan yang terkait dengan akun perangkat, sehingga memungkinkan pengambilalihan akun dan akses tidak sah ke feed kamera.
“Produk yang terpengaruh rentan terhadap paparan titik akhir API yang tidak diautentikasi, yang memungkinkan penyerang mengubah alamat email pemulihan “lupa kata sandi” dari jarak jauh,” kata CISA.
Menurut penasihat keamanan, CVE-2026-1670 berdampak pada model berikut:
- I-HIB2PI-UL 2MP IP 6.1.22.1216
- SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
- PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
- 25M IPC WDR_2MP_32M_PTZ_v2.0
Honeywell adalah pemasok global utama peralatan keamanan dan pengawasan video dengan beragam model kamera CCTV dan produk terkait yang digunakan di lingkungan komersial, industri, dan infrastruktur penting di seluruh dunia.
Perusahaan menawarkan banyak hal Sesuai dengan NDAA kamera yang cocok untuk ditempatkan di lembaga pemerintah AS dan kontraktor federal.
Rangkaian model spesifik yang disebutkan dalam rekomendasi CISA adalah produk pengawasan video tingkat menengah yang digunakan di lingkungan usaha kecil dan menengah, kantor, dan gudang, yang beberapa di antaranya mungkin merupakan bagian dari fasilitas penting.
CISA menyatakan bahwa hingga tanggal 17 Februari, tidak ada laporan mengenai eksploitasi publik yang secara khusus menargetkan kerentanan ini.
Meskipun demikian, badan tersebut merekomendasikan untuk meminimalkan paparan jaringan pada perangkat sistem kontrol, mengisolasinya di balik firewall, dan menggunakan metode akses jarak jauh yang aman seperti solusi VPN yang diperbarui ketika konektivitas jarak jauh diperlukan.
Honeywell belum menerbitkan nasihat tentang CVE-2026-1670, namun pengguna disarankan untuk melakukannya hubungi tim dukungan perusahaan untuk panduan tambalan.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
