EZVIZ モノのインターネット (IoT) カメラの少なくとも XNUMX つのモデルは、少数の脆弱性に対して脆弱であり、攻撃者がデバイスからビデオにアクセスし、復号化し、ダウンロードする可能性があります。
EZVIZ は、世界中で使用されているクラウド接続ハードウェアのスマート ホーム セキュリティ ブランドであり、数十の IoT セキュリティ カメラ モデルを提供しています。
IoT ハードウェア セキュリティに関する継続的な調査の一環として、Bitdefender のアナリストは、少なくとも XNUMX つの EZVIZ カメラ モデルの脆弱性を特定しましたが、チームは、影響を受ける製品が他にもある可能性があると付け加えました。
- CS-CV248 [20XXXXX72] – V5.2.1 ビルド 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 ビルド 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 ビルド 211208
- CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 ビルド 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 ビルド 22012
まず、セキュリティ研究者は、リモート コード実行につながる可能性があるスタックベースのバッファ オーバーフロー バグを特定しました (CVE-2022-2471)。 さらに、いくつかの API エンドポイントで、サイバー攻撃者がカメラを制御できる安全でない直接オブジェクト参照の脆弱性と、攻撃者がビデオの暗号化キーを盗むことを可能にする XNUMX つ目のリモート バグを発見した、と研究者は付け加えました。
最後に、CVE-2022-2472 で追跡されているローカルの脆弱性により、攻撃者が本格的にデバイスを乗っ取ることができます。
「デイジーチェーン接続すると、発見された脆弱性により、攻撃者はカメラをリモートで制御し、画像をダウンロードして復号化できます」 IoTサイバーセキュリティ 研究チームが追加されました。 「これらの脆弱性を利用すると、認証を回避し、コードをリモートで実行する可能性があり、影響を受けるカメラの完全性がさらに損なわれる可能性があります。」
EZVIZ は、影響を受けるカメラのセキュリティ アップデートの発行を開始しました。 IoT バグ XNUMX 月から、Bitdefender が開示しました。
