Suosittuja IoT-kameroita on korjattava katastrofaalisten hyökkäysten torjumiseksi

Ainakin viisi EZVIZ Internet of Things (IoT) -kameramallia ovat haavoittuvia useille haavoittuvuuksille, jotka voivat johtaa siihen, että uhkatoimijat pääsevät käsiksi, purkamaan ja lataamaan videota laitteista.

EZVIZ on älykkään kodin tietoturvabrändi pilvipalveluihin yhdistettävistä laitteistoista, joita käytetään kaikkialla maailmassa ja joka tarjoaa kymmeniä IoT-valvontakameramalleja. 

Bitdefenderin analyytikot tunnistivat haavoittuvuuksia ainakin viidessä EZVIZ-kameramallissa osana jatkuvaa IoT-laitteiston tietoturvaa koskevaa tutkimustaan, vaikka tiimi lisäsi, että muitakin tuotteita, joita tämä koskee: 

• CS-CV248 [20XXXXX72] – V5.2.1 build 180403
• CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 build 201719
• CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 koontiversio 211208
• CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 build 210731
• CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 versio 22012

Ensin tietoturvatutkijat havaitsivat pinopohjaisen puskurin ylivuotovirheen, joka voi johtaa koodin etäsuorittamiseen (CVE-2022-2471). Lisäksi he löysivät turvattoman suoran objektiviittauksen haavoittuvuuden useista API-päätepisteistä, joiden avulla kyberhyökkääjä voisi ottaa kameran hallintaansa, ja kolmannen etävirheen, jonka avulla hyökkääjä voi varastaa videon salausavaimen, tutkijat lisäsivät. 

Lopuksi CVE-2022-2472:lla jäljitetty paikallinen haavoittuvuus antaa hyökkääjän ottaa laitteen haltuunsa. 

"Kun ne on ketjutettu, havaitut haavoittuvuudet antavat hyökkääjälle mahdollisuuden etäohjata kameraa, ladata kuvia ja purkaa niiden salaus", Internet-kyberturvallisuus tutkimusryhmä lisäsi. "Näiden haavoittuvuuksien käyttö voi ohittaa todennuksen ja mahdollisesti suorittaa koodin etänä, mikä vaarantaa entisestään häiritsevien kameroiden eheyden." 

EZVIZ aloitti tietoturvapäivitysten julkaisemisen kameroille, joihin IoT-vika kesäkuusta alkaen Bitdefender paljasti.