Priljubljene IoT kamere potrebujejo popravke, da bi preprečile katastrofalne napade

Vsaj pet modelov kamer EZVIZ Internet of Things (IoT) je ranljivih za peščico ranljivosti, ki bi lahko privedle do dostopa akterjev groženj, dešifriranja in prenosa videa iz naprav.

EZVIZ je znamka pametne domače varnostne strojne opreme, povezane z oblakom, ki se uporablja po vsem svetu in ponuja na desetine modelov varnostnih kamer IoT. 

Kot del svoje tekoče raziskave o varnosti strojne opreme interneta stvari so analitiki pri Bitdefenderju odkrili ranljivosti v vsaj petih modelih kamer EZVIZ, čeprav je ekipa dodala, da so lahko tudi drugi prizadeti izdelki: 

• CS-CV248 [20XXXXX72] – V5.2.1 build 180403
• CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 build 201719
• CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 build 211208
• CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 build 210731
• CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 build 22012

Najprej so varnostni raziskovalci odkrili napako prekoračitve medpomnilnika na podlagi sklada, ki bi lahko povzročila oddaljeno izvajanje kode (CVE-2022-2471). Poleg tega so odkrili nezanesljivo ranljivost neposrednega sklicevanja na objekt na več končnih točkah API-ja, ki bi kibernetskemu napadalcu lahko omogočila prevzem nadzora nad kamero, in tretjo oddaljeno napako, ki napadalcu omogoča krajo šifrirnega ključa za video, so dodali raziskovalci. 

Nazadnje, lokalna ranljivost, ki jo spremljamo pod CVE-2022-2472, omogoča napadalcu, da resno prevzame napravo. 

“When daisy-chained, the discovered vulnerabilities allow an attacker to remotely control the camera, download images and decrypt them,” the Kibernetska varnost IoT research team added. “Use of these vulnerabilities can bypass authentication and potentially execute code remotely, further compromising the integrity of the affected cameras.” 

EZVIZ je začel izdajati varnostne posodobitve za kamere, na katere vpliva IoT napaka od junija, je razkril Bitdefender.