EZVIZ Nesnelerin İnterneti (IoT) kameralarının en az beş modeli, tehdit aktörlerinin cihazlardan videoya erişmesine, şifresini çözmesine ve indirmesine yol açabilecek bir dizi güvenlik açığına karşı savunmasızdır.
EZVIZ, düzinelerce IoT güvenlik kamerası modeli sunan, dünya çapında kullanılan buluta bağlı donanımlardan oluşan akıllı ev güvenliği markasıdır.
Bitdefender'daki analistler, Nesnelerin İnterneti donanım güvenliği konusunda devam eden araştırmalarının bir parçası olarak, en az beş EZVIZ kamera modelinde güvenlik açıkları tespit etti; ancak ekip, etkilenen başka ürünlerin de olabileceğini ekledi:
- CS-CV248 [20XXXXX72] – V5.2.1 yapısı 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 yapısı 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 yapısı 211208
- CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 yapısı 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 yapısı 22012
İlk olarak güvenlik araştırmacıları, uzaktan kod yürütülmesine yol açabilecek yığın tabanlı bir arabellek taşması hatasını belirlediler (CVE-2022-2471). Araştırmacılar ayrıca, çeşitli API uç noktalarında bir siber saldırganın kameranın kontrolünü ele geçirmesine izin verebilecek güvenli olmayan bir doğrudan nesne referansı güvenlik açığı ve bir saldırganın videonun şifreleme anahtarını çalmasına olanak tanıyan üçüncü bir uzaktan hata bulduklarını ekledi.
Son olarak, CVE-2022-2472 kapsamında takip edilen yerel bir güvenlik açığı, bir saldırganın cihazı ciddi anlamda ele geçirmesine olanak tanıyor.
"Papatya zinciri oluşturulduğunda keşfedilen güvenlik açıkları, bir saldırganın kamerayı uzaktan kontrol etmesine, görüntüleri indirmesine ve şifrelerini çözmesine olanak tanır." IoT siber güvenliği araştırma ekibi eklendi. "Bu güvenlik açıklarının kullanılması, kimlik doğrulamayı atlayabilir ve potansiyel olarak uzaktan kod çalıştırabilir, bu da etkilenen kameraların bütünlüğünü daha da tehlikeye atabilir."
EZVIZ, saldırıdan etkilenen kameralar için güvenlik güncellemeleri yayınlamaya başladı IoT hatası Haziran ayından itibaren Bitdefender bunu açıkladı.
