Обнаружены уязвимости в камерах видеонаблюдения большинства ведущих производителей

Уязвимости были обнаружены исследователем под псевдонимом someLuser. По его данным, продукты на платформе Ray Sharp DVD, а также DVR устройства от Swann, Lorex, URMET, KGuard, Defender, DEAPA/DSP Cop, SVAT, Zmodo, BCS, Bolide, EyeForce, Atlantis, Protectron, Greatek, Soyo, Hi-View, Cosmos и J2000 используют небезопасные методы подключения к Интернет.

В блоге исследователя размещен сценарий, с помощью которого можно раскрыть пароль для авторизации на устройстве. someLuser также разместил PoC-код, позволяющий получить доступ к продукту с помощью бреши в стандартном web-интерфейсе камер видеонаблюдения.

Информацию someLuser подтвердила Rapid7, отметив, что с помощью эксплоита хакеры могут не только видеть все, что видит камера, но также и управлять ею на расстоянии, приостанавливая съемку, перематывая запись, или просто выключая ее.

"Подобные бреши широко распространены во встроенных решениях, но их можно ограничить с помощью межсетевых экранов. Уязвимое DVR устройство, защищенное межсетевым экраном, не несет в себе серьезной угрозы. Однако в данном случае ситуация намного хуже", - заявил ведущий разработчик Metasploit Framework HD Moore.

Платформа Ray Sharp DVR поддерживает протокол Universal Plug and Play (UPnP), который также подвержен трем различным типам атак. Устройство с поддержкой UPnP-протокола, если его также поддерживает магистральный маршрутизатор в сети, имеет прямой выход в глобальную сеть интернет. "Таким образом, десятки тысяч уязвимых DVR устройств становятся доступными через интернет", - отметил HD Moore.

HD Moore и someLuser провели совместное исследование, в ходе которого были выявлены 58 000 уникальных IP-адресов, принадлежащих уязвимым DVR платформам. В Metasploit Framework появился специальный модуль The Ray Sharp DVR Password Retriever (auxiliary/scanner/misc/raysharp_dvr_passwords), который также позволяет обнаружить в сети уязвимое устройство.


Источник: Компания "Гротек"

Дата:
31.01.2013
» Смотреть все новости