Уличные IP-камеры видеонаблюдения AirLive подвержены уязвимостям

image

Теги: IP-камера, видеонаблюдение, уязвимость

Брешь позволяет злоумышленникам получить удаленный доступ к камере.

По крайней мере пять различных моделей IP-камер видеонаблюдения AirLive содержат уязвимости, которые позволяют злоумышленникам получить удаленный доступ к устройствам. ИБ-эксперт Core Security Науэль Рива (Nahuel Riva)  обнаружил  бреши в камерах видеонаблюдения, произведенных компанией OvisLink, в моделях MD-3025, BU-3026 и BU-2015. Устройства подвержены уязвимости инъекции системных команд в двоичном файле cgi_test.cgi. В свою очередь, модели WL-2000CAM и POE-200CAM подвержены уязвимости инъекции системных команд в двоичном файле wireless_mft.cgi.

Уязвимости позволяют злоумышленникам запрашивать данные двоичные файлы без аутентификации, в том случае, если пользователь не указал в конфигурациях камеры использовать HTTPS-соединение, которое не активировано по умолчанию. Злоумышленники могут получить доступ к MAC-адресу, названию модели, аппаратной версии, версии прошивки и другой информации о камере.

Рива несколько раз пытался связаться с представителями AirLive по поводу обнаруженной уязвимости. Несмотря на несколько писем, компания так и не ответила ИБ-эксперту.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.