В популярных ip-камерах нашли опасную уязвимость
Компания Positive Technologies заявила о том, что ее специалист Илья Смит распознал и помог устранить критическую уязвимость во встроенном программном обеспечении IP-камер компании Dahua. Они активно применяются для видеонаблюдения в банковском секторе, энергетике, телекоммуникациях, транспорте, совокупностях «умный дом» и других областях. Данной проблеме подвержены много тысяч камер в мире, производимые Dahua как под своим брендом, так и изготовленные для других клиентов.
Уязвимость CVE-2017-3223 взяла большую оценку 10 баллов по шкале CVSS Base Score. Недочёт безопасности связан с возможностью переполнения буфера (Buffer Overflow) в web-интерфейсе Sonia, предназначенном для настройки камер и дистанционного управления. Неавторизованный пользователь может послать намерено организованный POST-запрос на уязвимый web-интерфейс и удаленно взять привилегии администратора, что свидетельствует неограниченный контроль над IP-камерой.
«С программной точки зрения эта уязвимость разрешает сделать с камерой все что угодно, — отметил Илья Смит, старший эксперт группы изучений Positive Technologies. — Перехватить и модифицировать видеотрафик, включить устройство в ботнет для осуществления DDoS-атаки наподобие Mirai и другое. Компания Dahua занимает второе место в мире в области IP-камер и DVR, наряду с этим найденная нами уязвимость эксплуатируется весьма легко, что еще раз наглядно демонстрирует уровень безопасности в сфере устройств интернета вещей».
Уязвимость найдена в IP-камерах с программным обеспечением DH_IPC-ACK-Themis_Eng_P_V2.400.0000.14.R и более ранними предположениями firmware. Для устранения неточности нужно обновить ПО до версии DH_IPC-Consumer-Zi-Themis_Eng_P_V2.408.0000.11.R.20170621. С дополнительными подробностями возможно ознакомиться на сайте CERT университета Карнеги-Меллона.
В соответствии с изучениям Positive Technologies, преступники смогут возможно получить доступ более чем к 3,5 млн IP-камер в мире. Помимо этого, порядка 90% всех DVR-совокупностей, применяемых сейчас для видеонаблюдения фирмами среднего и малого бизнеса, содержат те либо иные уязвимости и смогут быть взломаны.
Это не первый случай сотрудничества двух компаний. В 2013 г. эксперты Positive Technologies помогли распознать и устранить бессчётные уязвимости в DVR-совокупностях производства Dahua.