Selon une alerte officielle de la CISA (agence américaine de cybersécurité), une vulnérabilité critique affecte plusieurs produits CCTV Honeywell, autorisant un accès non authentifié aux flux vidéo ou le détournement de comptes.

Honeywell CCTV – vuln critique d’authentification (CVE-2026-1670)

Résumé

CISA alerte sur CVE-2026-1670, une vulnérabilité critique (CVSS 9.8) de type “Missing Authentication for Critical Function” (CWE-306) affectant plusieurs produits Honeywell CCTV.
Le problème provient d’un endpoint API accessible sans authentification permettant à un attaquant distant de modifier l’adresse e-mail de récupération (“forgot password”) d’un compte associé à l’équipement. Cela peut mener à une prise de contrôle de compte et à un accès non autorisé aux flux vidéo. :contentReference[oaicite:0]{index=0}

Statut : au 17 février 2026, CISA indiquait ne pas avoir de preuve d’exploitation publique spécifiquement liée à cette CVE.

Produits / versions mentionnés

  • I-HIB2PI-UL 2MP IP6.1.22.1216
  • SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
  • PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
  • 25M IPC WDR_2MP_32M_PTZ_v2.0

Impact

  • Account takeover via changement de l’email de récupération
  • Accès aux feeds CCTV / compromission de confidentialité
  • Potentiel de rebond si les équipements sont intégrés à des environnements sensibles :contentReference[oaicite:3]{index=3}

TTPs (MITRE ATT&CK – mapping indicatif)

  • Initial Access / Exploit Public-Facing Application (T1190) : exploitation d’un endpoint API exposé et non authentifié (si interface accessible depuis Internet).
  • Credential Access / Account Manipulation (T1098) (approx.) : modification des mécanismes de récupération pour détourner le compte.
  • Collection (T1005/T1114 – selon contexte) : accès aux flux / contenus disponibles via le compte compromis.

IoCs

Aucun IOC (IP/domain/hash) publié dans les sources citées pour cette alerte. :contentReference[oaicite:4]{index=4}

IoCs / Signaux locaux à surveiller (détection)

  • Événements/journaux indiquant un changement d’e-mail de récupération (ou paramètres de compte) sans session authentifiée.
  • Requêtes HTTP/HTTPS vers l’API de gestion depuis des IP inhabituelles (surtout si l’interface est exposée).
  • Pics d’échecs/réussites “password reset” suivis d’un nouvel appareil / nouvelle localisation.

Mesures recommandées

Correctifs / éditeur

  • Contacter le support Honeywell pour obtenir les correctifs/consignes de mise à jour (aucun bulletin public Honeywell n’était signalé au moment de l’alerte). :contentReference[oaicite:5]{index=5}

Réduction d’exposition (prioritaire)

  • Retirer l’interface/API d’Internet : segmenter, filtrer (ACL), VPN/bastion pour l’administration.
  • Restreindre l’accès aux ports/services de management aux seuls réseaux d’admin.
  • Surveiller et alerter sur toute modification des paramètres de récupération.

Mesures de réponse (si suspicion)

  • Considérer l’équipement/compte comme potentiellement compromis si l’API était exposée.
  • Réinitialiser les identifiants, vérifier l’intégrité des paramètres, auditer les connexions et les changements de configuration.
  • Vérifier si des comptes/roles partagés existent et les éliminer.

Type d’article et objectif : alerte de sécurité visant à informer sur une vulnérabilité critique touchant des produits Honeywell CCTV et ses impacts potentiels.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/critical-infra-honeywell-cctvs-vulnerable-to-auth-bypass-flaw/