Эксперты Positive Technologies обнаружили уязвимости в ПО систем видеонаблюдения Samsung

В ходе проведения работ по анализу защищенности специалисты исследовательского центра Positive Research обнаружили серьезные ошибки безопасности в программном обеспечении систем видеонаблюдения Samsung DVR.

Уязвимости CWE-313 и CWE-302 в продукте Samsung Web Viewer позволяют злоумышленнику получить доступ к внутренним страницам интерфейса управления системой видеонаблюдения, просматривать данные учетных записей пользователей системы и получить над ней полный контроль. Уязвимости содержатся непосредственно в прошивке устройств, их устранение осложняется отсутствием функции автоматического обновления: после выхода патчей пользователи должны самостоятельно произвести «перепрошивку» системы, которую сможет выполнить далеко не каждый.

Подробная информация об этих ошибках безопасности, которые были обнаружены экспертом Positive Research Андреем Безбородовым, содержится в выпущенном CERT бюллетене безопасности VU#882286 .

Устройства видеонаблюдения, работающие под управлением программного обеспечения Samsung, относятся к среднему и высокому ценовому сегменту и устанавливаются на крупных предприятиях в различных отраслях. Поисковыми системами проиндексированы десятки тысяч уязвимых устройств Samsung DVR.

Отметим, что на данный момент обновление, устраняющее данные уязвимости, отсутствует, поэтому всем пользователям систем видеонаблюдения, использующих Samsung DVR, рекомендуется ограничить доступ к интерфейсу ПО Web Viewer, открыв его только для доверенных сетей, а также по возможности ограничить доступ к устройству по IP.

Эксперты Positive Technologies не в первый раз находят ошибки безопасности в программном обеспечении систем видеонаблюдения. Весной 2013 года ими был обнаружен целый ряд серьезных уязвимостей ПО, используемого в устройствах, которые продаются под десятками брендов по всему миру.

Чтобы получить больше информации об этих и других уязвимостях — напишите нам по электронной почте: research@ptsecurity.ru .