Co najmniej pięć modeli kamer EZVIZ Internet of Things (IoT) jest podatnych na kilka luk, które mogą umożliwić cyberprzestępcom uzyskanie dostępu do obrazu wideo, jego odszyfrowanie i pobranie z urządzeń.
EZVIZ to marka sprzętu podłączonego do chmury dla inteligentnego domu, używana na całym świecie, oferująca dziesiątki modeli kamer bezpieczeństwa IoT.
W ramach ciągłych badań nad bezpieczeństwem sprzętu IoT analitycy Bitdefender zidentyfikowali luki w co najmniej pięciu modelach kamer EZVIZ, chociaż zespół dodał, że problem może dotyczyć również innych produktów:
- CS-CV248 [20XXXXXX72] – wersja 5.2.1, kompilacja 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] – wersja 5.3.0, kompilacja 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] – wersja 5.3.0, kompilacja 211208
- CS-C6N-B0-1G2WF [G0XXXXXX66] – wersja 5.3.0 kompilacja 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] – wersja 5.3.5, kompilacja 22012
Po pierwsze, badacze bezpieczeństwa zidentyfikowali błąd przepełnienia bufora stosu, który może prowadzić do zdalnego wykonania kodu (CVE-2022-2471). Ponadto odkryli niebezpieczną lukę w zabezpieczeniach umożliwiającą bezpośrednie odniesienie do obiektu w kilku punktach końcowych interfejsu API, która może pozwolić cyberprzestępcy na przejęcie kontroli nad kamerą, a także trzeci zdalny błąd, który pozwala osobie atakującej ukraść klucz szyfrowania wideo – dodali badacze.
Wreszcie lokalna luka, oznaczona jako CVE-2022-2472, umożliwia osobie atakującej poważne przejęcie urządzenia.
„W przypadku połączenia łańcuchowego wykryte luki umożliwiają osobie atakującej zdalne sterowanie kamerą, pobieranie obrazów i ich odszyfrowywanie” – stwierdził. Cyberbezpieczeństwo IoT dodał zespół badawczy. „Wykorzystanie tych luk może ominąć uwierzytelnianie i potencjalnie zdalnie wykonać kod, co jeszcze bardziej zagrozi integralności kamer, których dotyczy problem”.
EZVIZ rozpoczął wydawanie aktualizacji zabezpieczeń dla kamer, których dotyczy problem Błąd IoT Bitdefender ujawnił, że począwszy od czerwca.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
