กล้อง IoT ยอดนิยมจำเป็นต้องแก้ไขเพื่อป้องกันการโจมตีจากภัยพิบัติ

กล้อง EZVIZ Internet of Things (IoT) อย่างน้อยห้ารุ่นมีความเสี่ยงต่อช่องโหว่จำนวนหนึ่งที่อาจนำไปสู่ผู้คุกคามในการเข้าถึง ถอดรหัส และดาวน์โหลดวิดีโอจากอุปกรณ์

EZVIZ เป็นแบรนด์การรักษาความปลอดภัยบ้านอัจฉริยะที่ประกอบด้วยฮาร์ดแวร์ที่เชื่อมต่อกับระบบคลาวด์ซึ่งมีการใช้งานทั่วโลก โดยนำเสนอกล้องรักษาความปลอดภัย IoT หลายสิบรุ่น 

ส่วนหนึ่งของการวิจัยอย่างต่อเนื่องเกี่ยวกับการรักษาความปลอดภัยฮาร์ดแวร์ IoT นักวิเคราะห์ที่ Bitdefender ระบุช่องโหว่ในกล้อง EZVIZ อย่างน้อยห้ารุ่น แม้ว่าทีมงานเสริมว่าอาจมีผลิตภัณฑ์ที่ได้รับผลกระทบอื่นๆ เช่นกัน: 

• CS-CV248 [20XXXX72] – V5.2.1 รุ่น 180403
• CS-C6N-A0-1C2WFR [E1XXXX79] – V5.3.0 รุ่น 201719
• CS-DB1C-A0-1E2W2FR [F1XXXXXX52] – V5.3.0 รุ่น 211208
• CS-C6N-B0-1G2WF [G0XXXX66] – v5.3.0 รุ่น 210731
• CS-C3W-A0-3H4WFRL [F4XXXXXX93] – V5.3.5 รุ่น 22012

ขั้นแรก นักวิจัยด้านความปลอดภัยระบุจุดบกพร่องบัฟเฟอร์ล้นแบบสแต็กที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกล (CVE-2022-2471) นอกจากนี้ พวกเขาพบช่องโหว่ในการอ้างอิงออบเจ็กต์โดยตรงที่ไม่ปลอดภัยที่จุดสิ้นสุด API หลายแห่งที่อาจทำให้ผู้โจมตีทางไซเบอร์ควบคุมกล้องได้ และข้อบกพร่องระยะไกลตัวที่สามที่ทำให้ผู้โจมตีขโมยคีย์การเข้ารหัสสำหรับวิดีโอ นักวิจัยกล่าวเสริม 

ในที่สุด ช่องโหว่ในพื้นที่ซึ่งติดตามภายใต้ CVE-2022-2472 ทำให้ผู้โจมตีเข้าควบคุมอุปกรณ์ได้อย่างจริงจัง 

“เมื่อเชื่อมต่อแบบเดซี่เชน ช่องโหว่ที่ค้นพบจะทำให้ผู้โจมตีสามารถควบคุมกล้องจากระยะไกล ดาวน์โหลดรูปภาพ และถอดรหัสพวกมันได้” IoT ความปลอดภัยทางไซเบอร์ ทีมวิจัยกล่าวเสริม “การใช้ช่องโหว่เหล่านี้สามารถข้ามการรับรองความถูกต้องและอาจรันโค้ดจากระยะไกล ซึ่งจะทำให้ความสมบูรณ์ของกล้องที่ได้รับผลกระทบลดลงอีก” 

EZVIZ เริ่มออกการอัปเดตความปลอดภัยสำหรับกล้องที่ได้รับผลกระทบจาก ข้อบกพร่องของ IoT เริ่มตั้งแต่เดือนมิถุนายน Bitdefender เปิดเผย