По крайней мере, пять моделей камер EZVIZ Internet of Things (IoT) уязвимы для нескольких уязвимостей, которые могут привести к тому, что злоумышленники получат доступ, расшифруют и загрузят видео с устройств.
EZVIZ — это бренд подключенного к облаку оборудования для обеспечения безопасности умного дома, который используется по всему миру и предлагает десятки моделей камер безопасности IoT.
В рамках своего текущего исследования аппаратной безопасности IoT аналитики Bitdefender выявили уязвимости как минимум в пяти моделях камер EZVIZ, хотя команда добавила, что могут быть и другие уязвимые продукты:
- CS-CV248 [20XXXXX72] — версия 5.2.1, сборка 180403.
- CS-C6N-A0-1C2WFR [E1XXXXX79] — версия 5.3.0, сборка 201719 XNUMX
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] — версия 5.3.0, сборка 211208.
- CS-C6N-B0-1G2WF [G0XXXXX66] — v5.3.0, сборка 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] — версия 5.3.5, сборка 22012.
Во-первых, исследователи безопасности обнаружили ошибку переполнения буфера на основе стека, которая могла привести к удаленному выполнению кода (CVE-2022-2471). Кроме того, они обнаружили небезопасную уязвимость прямой ссылки на объект в нескольких конечных точках API, которая может позволить кибер-злоумышленнику получить контроль над камерой, и третью удаленную ошибку, которая позволяет злоумышленнику украсть ключ шифрования для видео, добавили исследователи.
Наконец, локальная уязвимость, отслеживаемая под кодом CVE-2022-2472, позволяет злоумышленнику всерьез завладеть устройством.
«При последовательном соединении обнаруженные уязвимости позволяют злоумышленнику удаленно управлять камерой, загружать изображения и расшифровывать их», — говорится в сообщении. IoT кибербезопасность добавила исследовательская группа. «Использование этих уязвимостей может обойти аутентификацию и потенциально выполнить код удаленно, что еще больше нарушит целостность уязвимых камер».
EZVIZ начала выпускать обновления безопасности для камер, затронутых Ошибка Интернета вещей начиная с июня, сообщил Bitdefender.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов