Немецкий производитель IP-камер Geutebrück оперативно исправил ошибки в прошивке двух своих устройств. Новая версия программного обеспечения потребовалась моделям G-Cam/EFD-2250 и Topline TopFD-2125. Оба устройства уже сняты с производства, но с учетом серьезности уязвимостей вендор счел необходимым их пропатчить.

Всего специалисты по компьютерной безопасности обнаружили шесть брешей, три из которых получили критический рейтинг по шкале CVSS.

В одном из случаев речь идет о возможности несанкционированного выполнения стороннего кода на устройстве. Проблема оценена в 9,8 балла и может привести к захвату управления камерой.

Другая серьезная уязвимость позволяет злоумышленнику внедрить вредоносный SQL-скрипт в базу данных устройства и получить доступ к хранящимся там сведениям. Не меньшую тревогу вызвала у экспертов ошибка, эксплуатируя которую, киберпреступник может выгрузить из камеры идентификационную информацию пользователей, в том числе пароли.

Среди других недостатков, замеченных исследователями, — проблемы межсайтового скриптинга, фальсификация запроса на стороне сервера и возможность несанкционированного добавления нового пользователя. Все они получили рейтинг от 8,3 до 8,8 балла, что соответствует высокому уровню угрозы безопасности.

Несмотря на то что наличие дефектов подтверждено только у камер Geutebrück, аналогичную прошивку используют и другие устройства для видеонаблюдения. Под угрозой находятся CCTV-системы следующих брендов:

  • Ganz
  • Cap
  • UDP Technology
  • THRIVE Intelligence
  • Visualint

Такое большое количество скомпрометированных устройств может объясняться тем, что многие вендоры размещают заказы у одних и тех же OEM-производителей, то есть под разными марками по сути продаются одни и те же камеры.

Проблемы с безопасностью IP-камер встречаются и у более известных брендов. В свое время компании Sony пришлось обновить прошивку системы видеонаблюдения IPELA Engine, чтобы закрыть уязвимость, которая позволяла манипулировать изображением. А компрометация продукции популярной в России марки D-Link вынудила вендора выпустить новую версию программного обеспечения для шести моделей своих камер.

Категории: Главное, Уязвимости