Принаймні п'ять моделей камер EZVIZ Інтернет речей (IoT) уразливі до кількох уразливостей, які можуть призвести до того, що зловмисники зможуть отримати доступ до відео, розшифрувати та завантажити відео з пристроїв.
EZVIZ — це бренд розумного домашнього безпеки, який пропонує хмарне обладнання, яке використовується в усьому світі та пропонує десятки моделей камер безпеки IoT.
У рамках своїх поточних досліджень апаратної безпеки Інтернету речей аналітики Bitdefender виявили вразливості принаймні в п’яти моделях камер EZVIZ, хоча команда додала, що можуть бути й інші продукти, які постраждали:
- CS-CV248 [20XXXXX72] – V5.2.1 збірка 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 збірка 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 збірка 211208
- CS-C6N-B0-1G2WF [G0XXXXX66] – версія 5.3.0 збірка 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 збірка 22012
По-перше, дослідники безпеки виявили помилку переповнення буфера стека, яка могла призвести до віддаленого виконання коду (CVE-2022-2471). Крім того, вони виявили незахищену вразливість прямого посилання на об’єкт у кількох кінцевих точках API, яка може дозволити кібератаку отримати контроль над камерою, і третю віддалену помилку, яка дозволяє зловмиснику викрасти ключ шифрування для відео, додали дослідники.
Нарешті, локальна вразливість, яка відстежується за CVE-2022-2472, дозволяє зловмиснику серйозно заволодіти пристроєм.
«При ланцюжковому підключенні виявлені вразливості дозволяють зловмиснику віддалено керувати камерою, завантажувати зображення та розшифровувати їх», — Кібербезпека IoT дослідницька група додала. «Використання цих уразливостей може обійти автентифікацію та потенційно віддалено виконати код, ще більше порушуючи цілісність уражених камер».
EZVIZ почав випускати оновлення безпеки для камер, які постраждали від Помилка IoT повідомляє Bitdefender, починаючи з червня.
