EZVIZ 사물 인터넷(IoT) 카메라의 최소 5개 모델은 위협 행위자가 장치에서 비디오에 액세스하고, 암호를 해독하고, 다운로드할 수 있는 몇 가지 취약점에 취약합니다.
EZVIZ는 전 세계적으로 사용되는 클라우드 연결 하드웨어의 스마트 홈 보안 브랜드로, 수십 가지 IoT 보안 카메라 모델을 제공합니다.
IoT 하드웨어 보안에 대한 지속적인 연구의 일환으로 Bitdefender의 분석가는 최소 5개의 EZVIZ 카메라 모델에서 취약점을 식별했지만, 영향을 받는 다른 제품도 있을 수 있다고 덧붙였습니다.
- CS-CV248 [20XXXXX72] – V5.2.1 빌드 180403
- CS-C6N-A0-1C2WFR [E1XXXXXX79] – V5.3.0 빌드 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 빌드 211208
- CS-C6N-B0-1G2WF [G0XXXXXX66] – v5.3.0 빌드 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 빌드 22012
먼저, 보안 연구원들은 원격 코드 실행으로 이어질 수 있는 스택 기반 버퍼 오버플로 버그를 식별했습니다(CVE-2022-2471). 또한 연구원들은 사이버 공격자가 카메라를 제어할 수 있는 여러 API 엔드포인트에서 안전하지 않은 직접 객체 참조 취약점과 공격자가 비디오의 암호화 키를 훔칠 수 있는 세 번째 원격 버그를 발견했다고 덧붙였습니다.
마지막으로, CVE-2022-2472로 추적된 로컬 취약점으로 인해 공격자가 장치를 본격적으로 탈취할 수 있습니다.
“데이지 체인 방식으로 연결되면 발견된 취약점을 통해 공격자가 원격으로 카메라를 제어하고 이미지를 다운로드하고 암호를 해독할 수 있습니다.” IoT 사이버 보안 연구팀이 추가됐다. “이러한 취약점을 사용하면 인증을 우회하고 잠재적으로 원격으로 코드를 실행할 수 있어 영향을 받는 카메라의 무결성이 더욱 손상될 수 있습니다.”
EZVIZ는 영향을 받는 카메라에 대한 보안 업데이트를 발행하기 시작했습니다. IoT 버그 6월부터 Bitdefender가 공개했습니다.
