Beliebte IoT-Kameras müssen gepatcht werden, um katastrophale Angriffe abzuwehren

Zeitstempel: 15. September 2022, 3:00 Uhr
Quellknoten: 1681123

Mindestens fünf Modelle von EZVIZ Internet of Things (IoT)-Kameras sind anfällig für eine Handvoll Schwachstellen, die dazu führen könnten, dass Bedrohungsakteure auf das Video der Geräte zugreifen, es entschlüsseln und herunterladen.

EZVIZ ist eine Smart-Home-Sicherheitsmarke für mit der Cloud verbundene Hardware, die weltweit eingesetzt wird und Dutzende IoT-Überwachungskameramodelle anbietet. 

Im Rahmen ihrer laufenden Forschung zur IoT-Hardwaresicherheit identifizierten die Analysten von Bitdefender Schwachstellen in mindestens fünf EZVIZ-Kameramodellen, obwohl das Team hinzufügte, dass es auch andere betroffene Produkte geben könnte: 

  • CS-CV248 [20XXXXX72] – V5.2.1 Build 180403
  • CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 Build 201719
  • CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 Build 211208
  • CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 Build 210731
  • CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 Build 22012

Zunächst identifizierten die Sicherheitsforscher einen stapelbasierten Pufferüberlauffehler, der zur Remote-Codeausführung führen könnte (CVE-2022-2471). Darüber hinaus fanden sie an mehreren API-Endpunkten eine unsichere Schwachstelle mit direkter Objektreferenz, die es einem Cyberangreifer ermöglichen könnte, die Kontrolle über die Kamera zu übernehmen, und einen dritten Remote-Bug, der es einem Angreifer ermöglicht, den Verschlüsselungsschlüssel für das Video zu stehlen, fügten die Forscher hinzu. 

Schließlich ermöglicht eine lokale Schwachstelle, die unter CVE-2022-2472 verfolgt wird, einem Angreifer die ernsthafte Übernahme des Geräts. 

„Bei einer Verkettung ermöglichen die entdeckten Schwachstellen einem Angreifer, die Kamera fernzusteuern, Bilder herunterzuladen und sie zu entschlüsseln“, so der IoT-Cybersicherheit Forschungsteam hinzugefügt. „Die Nutzung dieser Schwachstellen kann die Authentifizierung umgehen und möglicherweise Code aus der Ferne ausführen, was die Integrität der betroffenen Kameras weiter gefährdet.“ 

EZVIZ hat damit begonnen, Sicherheitsupdates für die davon betroffenen Kameras herauszugeben IoT-Fehler ab Juni, gab Bitdefender bekannt.

Zeitstempel:

Mehr von Dunkle Lektüre