Группа независимых исследователей опубликовала на сайте 0DayAllDay информацию о критической уязвимости в прошивке системы видеонаблюдения Guardzilla. Как выяснили специалисты, в код программы зашиты данные для доступа к аккаунту Amazon Web Services, где хранятся видеофайлы всех пользователей этих камер.

Эксперты сообщили производителю о найденной бреши и, не получив ответа в течение 60 дней, обнародовали ее детали.

ИБ-специалисты изучили системное ПО настольной беспроводной камеры GZ521W и обнаружили в его коде ключи к аккаунту облачного хранилища Amazon. Обладая этими ключами, злоумышленники способны получить доступ ко всем корзинам Guardzilla, включая папки с пользовательскими видеозаписями. Как выяснили аналитики, вендор не применяет разграничение прав доступа, поэтому уязвимость компрометирует персональный контент всех владельцев этой модели устройства.

Баг зарегистрирован как CVE-2018-5560 и получил оценку 8,6 балла по шкале CVSS. Специалисты отмечают, что для исправления недостатка вендору потребуется не только выпустить обновление прошивки, но и изменить политику хранения видеофайлов пользователя. Эксперты рекомендуют производителю запустить прокси-сервис, который будет выдавать уникальные ключи доступа для каждого устройства.

Исследователи сообщили Guardzilla о своей находке 24 октября этого года, однако до сих пор не получили ответа. Исполнительный директор вендора Грег Сивак (Greg Siwak), с которым удалось связаться журналистам TechCrunch, назвал обвинения ложными и сообщил, что компания не получала никаких сведений об уязвимостях в своих продуктах.

Баги в камерах видеонаблюдения становятся не только причиной утечек, но и позволяют злоумышленникам создавать мощные ботнеты на базе таких устройств. В январе 2018 года специалисты обнаружили вредоносную сеть HNS, которая атаковала IP-камеры через Telnet-порты и за несколько дней собрала под свое крыло 24 тысячи единиц IoT-оборудования. Позже злоумышленники расширили сферу влияния на другие типы устройств, включив в состав зловреда функции для взлома серверов и роутеров.

Категории: Уязвимости