Pelo menos cinco modelos de câmeras EZVIZ para Internet das Coisas (IoT) são vulneráveis a um punhado de vulnerabilidades que podem levar os atores da ameaça a acessar, descriptografar e baixar o vídeo dos dispositivos.
EZVIZ é uma marca de segurança residencial inteligente de hardware conectado à nuvem usada em todo o mundo, oferecendo dezenas de modelos de câmeras de segurança IoT.
Como parte de sua pesquisa contínua sobre segurança de hardware IoT, os analistas da Bitdefender identificaram vulnerabilidades em pelo menos cinco modelos de câmeras EZVIZ, embora a equipe tenha acrescentado que também poderia haver outros produtos afetados:
- CS-CV248 [20XXXXX72] – V5.2.1 compilação 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 compilação 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 compilação 211208
- CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 compilação 210731
- CS-C3W-A0-3H4WFRL [F4XXXXXX93] – V5.3.5 compilação 22012
Primeiro, os pesquisadores de segurança identificaram um bug de buffer overflow baseado em pilha que poderia levar à execução remota de código (CVE-2022-2471). Além disso, eles encontraram uma vulnerabilidade insegura de referência direta a objetos em vários endpoints de API que poderia permitir que um invasor cibernético assumisse o controle da câmera, e um terceiro bug remoto que permite que um invasor roubasse a chave de criptografia do vídeo, acrescentaram os pesquisadores.
Finalmente, uma vulnerabilidade local, rastreada sob CVE-2022-2472, permite que um invasor assuma o controle do dispositivo para valer.
“Quando conectadas em série, as vulnerabilidades descobertas permitem que um invasor controle remotamente a câmera, baixe imagens e descriptografe-as”, o Cibersegurança IoT equipe de pesquisa adicionada. “O uso dessas vulnerabilidades pode ignorar a autenticação e potencialmente executar código remotamente, comprometendo ainda mais a integridade das câmeras afetadas.”
A EZVIZ começou a emitir atualizações de segurança para as câmeras afetadas pelo Bug de IoT a partir de junho, divulgou o Bitdefender.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website