Vähemalt viis EZVIZ-i asjade Interneti (IoT) kaamerate mudelit on haavatavad mõne haavatavuse suhtes, mis võivad põhjustada ohus osalejate juurdepääsu, dekrüpteerimise ja video allalaadimise seadmetest.
EZVIZ on nutika kodu turvabränd pilvega ühendatud riistvarast, mida kasutatakse kogu maailmas ja mis pakub kümneid asjade Interneti turvakaamerate mudeleid.
Osana käimasolevast IoT riistvara turvalisuse uurimisest tuvastasid Bitdefenderi analüütikud haavatavused vähemalt viies EZVIZ-i kaameramudelis, kuigi meeskond lisas, et mõjutatud tooteid võib olla ka teisi:
- CS-CV248 [20XXXXX72] – V5.2.1 järg 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 ehitamine 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 järg 211208
- CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 järg 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 build 22012
Esiteks tuvastasid turvauurijad virnapõhise puhvri ületäitumise vea, mis võib viia koodi kaugkäitamiseni (CVE-2022-2471). Lisaks leidsid nad mitmes API lõpp-punktis ebaturvalise otsese objektiviite haavatavuse, mis võib võimaldada küberründajal kaamera üle kontrolli haarata, ja kolmanda kaugvea, mis võimaldab ründajal varastada video krüpteerimisvõtme, lisasid teadlased.
Lõpuks võimaldab CVE-2022-2472 all jälgitav kohalik haavatavus ründajal seadme tõsiselt üle võtta.
"Kui avastatud haavatavused on aheldatud, võimaldavad ründajal kaamerat kaugjuhtida, pilte alla laadida ja neid dekrüpteerida," IoT küberturvalisus uurimisrühm lisas. "Nende haavatavuste kasutamine võib autentimisest mööda minna ja potentsiaalselt koodi kaugkäivitada, kahjustades veelgi mõjutatud kaamerate terviklikkust."
EZVIZ hakkas väljastama turvavärskendusi kaameratele, mida mõjutas IoT viga Alates juunist avalikustas Bitdefender.
