Τουλάχιστον πέντε μοντέλα καμερών EZVIZ Internet of Things (IoT) είναι ευάλωτα σε μια χούφτα τρωτών σημείων που θα μπορούσαν να οδηγήσουν στην πρόσβαση, την αποκρυπτογράφηση και τη λήψη του βίντεο από τις συσκευές από φορείς απειλής.
Η EZVIZ είναι μια έξυπνη μάρκα ασφαλείας οικιακού εξοπλισμού συνδεδεμένου στο cloud που χρησιμοποιείται σε όλο τον κόσμο, προσφέροντας δεκάδες μοντέλα καμερών ασφαλείας IoT.
Ως μέρος της συνεχιζόμενης έρευνάς τους για την ασφάλεια υλικού IoT, οι αναλυτές στο Bitdefender εντόπισαν τρωτά σημεία σε τουλάχιστον πέντε μοντέλα καμερών EZVIZ, αν και η ομάδα πρόσθεσε ότι ενδέχεται να επηρεαστούν και άλλα προϊόντα:
- CS-CV248 [20XXXXX72] – V5.2.1 έκδοση 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] – έκδοση V5.3.0 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] – έκδοση V5.3.0 211208
- CS-C6N-B0-1G2WF [G0XXXXX66] – έκδοση 5.3.0 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] – έκδοση V5.3.5 22012
Πρώτον, οι ερευνητές ασφαλείας εντόπισαν ένα σφάλμα υπερχείλισης buffer που βασίζεται σε στοίβα που θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα (CVE-2022-2471). Επιπλέον, βρήκαν μια ανασφαλή ευπάθεια άμεσης αναφοράς αντικειμένου σε πολλά τελικά σημεία API που θα μπορούσε να επιτρέψει σε έναν κυβερνοεπιτιθέμενο να πάρει τον έλεγχο της κάμερας και ένα τρίτο απομακρυσμένο σφάλμα που επιτρέπει σε έναν εισβολέα να κλέψει το κλειδί κρυπτογράφησης για το βίντεο, πρόσθεσαν οι ερευνητές.
Τέλος, μια τοπική ευπάθεια, η οποία παρακολουθείται σύμφωνα με το CVE-2022-2472, επιτρέπει σε έναν εισβολέα να αναλάβει σοβαρά τη συσκευή.
"Όταν αλυσοδένονται, οι ευπάθειες που ανακαλύφθηκαν επιτρέπουν σε έναν εισβολέα να ελέγχει εξ αποστάσεως την κάμερα, να κατεβάζει εικόνες και να τις αποκρυπτογραφεί", το Κυβερνητική ασφάλεια IoT πρόσθεσε η ερευνητική ομάδα. "Η χρήση αυτών των τρωτών σημείων μπορεί να παρακάμψει τον έλεγχο ταυτότητας και ενδεχομένως να εκτελέσει τον κώδικα εξ αποστάσεως, θέτοντας περαιτέρω σε κίνδυνο την ακεραιότητα των επηρεαζόμενων καμερών."
Η EZVIZ άρχισε να εκδίδει ενημερώσεις ασφαλείας για τις κάμερες που επηρεάζονται από το Σφάλμα IoT ξεκινώντας τον Ιούνιο, αποκάλυψε το Bitdefender.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
