В 400 моделях видеокамер Axis Communications обнаружены уязвимости
Некоторые уязвимости позволяют неавторизованному злоумышленнику удаленно получить полный контроль над камерами.
В ходе исследования безопасности IoT-устройств специалисты ИБ-компании VDOO обнаружили в камерах видеонаблюдения Axis Communications семь уязвимостей. Производитель идентифицировал порядка 400 уязвимых моделей и выпустил обновления для каждой из них. По словам исследователей, злоумышленник, знающий IP-адрес атакуемой камеры, может удаленно и без аутентификации получить полный контроль над устройством. Полный контроль даст ему возможность перехватывать и останавливать видеопоток, управлять функциями камеры (например, отключать детектор движения), включать камеру в ботнет, вмешиваться в работу ПО, применять в DDoS-атаках и майнинге криптовалюты, а также использовать как точку входа для продвижения внутри сети.
Для удаленного взлома устройства атакующий может использовать связку из трех уязвимостей. CVE-2018-10661 позволяет обходить аутентификацию, CVE-2018-10662 – отправлять специальные запросы с правами суперпользователя, а CVE-2018-10660 – внедрять произвольные команды оболочки.
Остальные обнаруженные специалистами VDOO уязвимости позволяют авторизованному атакующему вызывать аварийное завершение некоторых процессов и получать данные из памяти. Для каждой уязвимости эксперты разработали эксплоит. С полным списком уязвимых моделей можно ознакомиться здесь .