У популярних IP-камерах знайшли небезпечну уразливість

Виявленої проблеми схильні до сотні тисяч камер по всьому світу, що випускаються компанією Dahua. Вони широко використовуються для відеоспостереження в банківському секторі, енергетиці, телекомунікаціях та інших сферах.
Компанія Positive Technologies оголосила про те, що її експерт Ілля Сміт виявив і допоміг усунути критичну уразливість у вбудованому програмному забезпеченні IP-камер компанії Dahua. Вони широко використовуються для відеоспостереження в банківському секторі, енергетиці, телекомунікаціях, транспорті, системах «розумний будинок» та інших областях. Цій проблемі схильні до сотні тисяч камер по всьому світу, що випускаються Dahua як під своїм брендом, так і виготовлені для інших замовників.
Уразливість CVE-2017-3223 отримала максимальну оцінку 10 балів за шкалою CVSS Base Score. Недолік безпеки пов’язаний з можливістю переповнення буфера (Buffer Overflow) в веб-інтерфейсі Sonia, призначеному для дистанційного керування і налаштування камер. Неавторизований користувач може відправити спеціально сформований POST-запит на вразливий веб-інтерфейс і віддалено отримати привілеї адміністратора, що означає необмежений контроль над IP-камерою.
«З програмної точки зору ця уразливість дозволяє зробити з камерою все що завгодно, – зазначив Ілля Сміт, старший фахівець групи досліджень Positive Technologies. – Перехопити і модифікувати відеотрафік, включити пристрій в ботнет для здійснення DDoS-атаки на зразок Mirai та багато іншого. Компанія Dahua займає друге місце в світі в області IP-камер і DVR, при цьому виявлена ​​нами вразливість експлуатується дуже легко, що ще раз наочно демонструє рівень безпеки в сфері пристроїв інтернету речей ».
Уразливість виявлена ​​в IP-камерах з програмним забезпеченням DH_IPC-ACK-Themis_Eng_P_V2.400.0000.14.R і більш ранніми версіями прошивки. Для усунення помилки необхідно оновити ПЗ до версії DH_IPC-Consumer-Zi-Themis_Eng_P_V2.408.0000.11.R.20170621. З додатковими подробицями можна ознайомитися на сайті CERT університету Карнегі-Меллона.
Згідно з дослідженнями Positive Technologies, зловмисники можуть потенційно отримати доступ більш ніж до 3,5 млн IP-камер по всьому світу. Крім того, близько 90% всіх DVR-систем, використовуваних сьогодні для відеоспостереження підприємствами малого і середнього бізнесу, містять ті чи інші уразливості і можуть бути зламані.
Це не перший випадок співпраці двох компаній. У 2013 р фахівці Positive Technologies допомогли виявити і усунути численні уразливості в DVR-системах виробництва Dahua.

Залишити відповідь