Il 7 febbraio, Trustwave ha pubblicato un rapporto su un metodo di exploit scoperto dai ricercatori che ha un impatto su quattro prodotti Lifesize legacy:
- Squadre a grandezza naturale ed Stanze a grandezza naturale, parte della famiglia di prodotti Lifesize 200 e Lifesize 220 precedentemente ritirata,
- Networker a grandezza naturale, un gateway precedentemente ritirato per l'integrazione tra IP e ISDN e
- Passaporto a grandezza naturale, una serie di sistemi di fotocamere basati su USB precedentemente ritirati.
Dopo aver appreso per la prima volta questo difetto, Lifesize Engineering ha condotto un'indagine che ha confermato la vulnerabilità nei casi in cui uno dei prodotti di cui sopra è stato implementato all'esterno del firewall su un indirizzo IP pubblico o l'attacco è stato originato all'interno dell'organizzazione da un individuo con accesso come amministratore ai sistemi, cosa rara a meno che i sistemi non siano mai stati configurati o non utilizzino ancora credenziali di accesso predefinite.
I sistemi Serie 200 e i sistemi Lifesize Passport non sono stati venduti per più di cinque anni e sono ufficialmente fuori uso da gennaio 2017. Lifesize Networker non è stato venduto da gennaio 2016, con fine vita annunciato per il 31 marzo 2019. Serie 220 i sistemi non vengono venduti da agosto 2017. Come per tutti i prodotti Lifesize, rimaniamo impegnati a supportare i clienti che utilizzano sistemi legacy fino alla fine del ciclo di vita del prodotto.
Abbiamo affrontato la vulnerabilità e rilasceremo una patch a tutti i clienti Lifesize Cloud che attualmente utilizzano uno dei sistemi interessati. Inoltre, i clienti Lifesize con sistemi della serie 220 non connessi al servizio cloud Lifesize possono richiedere un hotfix contattando l'assistenza Lifesize per telefono, e-mail o aprendo un ticket di supporto. Per maggiori informazioni visita: https://www.lifesize.com/en/support/contact-support
La sicurezza è della massima importanza per Lifesize. Tutti i prodotti vengono scansionati e sottoposti a rigorosi test di sicurezza utilizzando processi automatizzati e manuali, comprese revisioni esterne. In rari casi, quando vengono rilevati difetti di sicurezza nella nostra attuale gamma di prodotti, vengono risolti e corretti nel giro di poche settimane, se non giorni.
Ci scusiamo per l'inconveniente arrecato ai nostri clienti e ci impegniamo a migliorare i nostri processi interni mediante i quali intensifichiamo le vulnerabilità segnalate in modo da poter affrontare più rapidamente i problemi noti.
