حداقل پنج مدل دوربین EZVIZ اینترنت اشیا (IoT) در برابر آسیبپذیریهای انگشت شماری آسیبپذیر هستند که میتواند منجر به دسترسی عوامل تهدید، رمزگشایی و دانلود ویدیو از دستگاهها شود.
EZVIZ یک برند امنیتی خانه هوشمند از سخت افزار متصل به ابر است که در سراسر جهان استفاده می شود و ده ها مدل دوربین امنیتی اینترنت اشیا را ارائه می دهد.
به عنوان بخشی از تحقیقات مداوم خود در مورد امنیت سختافزار اینترنت اشیا، تحلیلگران Bitdefender آسیبپذیریهایی را در حداقل پنج مدل دوربین EZVIZ شناسایی کردند، اگرچه تیم اضافه کرد که ممکن است محصولات دیگری نیز تحت تأثیر قرار بگیرند:
- CS-CV248 [20XXXXX72] – V5.2.1 build 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 build 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 build 211208
- CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 build 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 build 22012
ابتدا، محققان امنیتی یک اشکال سرریز بافر مبتنی بر پشته را شناسایی کردند که میتواند منجر به اجرای کد از راه دور شود (CVE-2022-2471). محققان افزودند، علاوه بر این، آنها یک آسیبپذیری ناامن مرجع مستقیم شی را در چندین نقطه پایانی API پیدا کردند که میتواند به مهاجم سایبری اجازه دهد کنترل دوربین را در دست بگیرد، و سومین باگ راه دور که به مهاجم اجازه میدهد کلید رمزگذاری ویدیو را بدزدد.
در نهایت، یک آسیبپذیری محلی که تحت CVE-2022-2472 ردیابی میشود، به مهاجم اجازه میدهد دستگاه را به طور جدی کنترل کند.
“When daisy-chained, the discovered vulnerabilities allow an attacker to remotely control the camera, download images and decrypt them,” the امنیت سایبری اینترنت اشیا research team added. “Use of these vulnerabilities can bypass authentication and potentially execute code remotely, further compromising the integrity of the affected cameras.”
EZVIZ شروع به صدور بهروزرسانیهای امنیتی برای دوربینهای تحت تأثیر آن کرد اشکال اینترنت اشیا از ماه ژوئن، Bitdefender فاش کرد.