Эксперт обнаружил уязвимость в IP-камерах Dahua
Уязвимость в IP-камерах от Dahua Technology выявил специалист компании Positive Technologies Илья Смит. Угрозе подвержены тысячи камер, установленных в банках, на объектах энергетики и транспорта, которые выпускает Dahua, сообщает пресс-служба PT.
Найденную экспертом уязвимость CVE-2017-3223 оценили в 10 из 10 баллов по шкале CVSS Base Score. Получить доступ к устройству можно с помощью переполнения буфера в интерфейсе Sonia, который используется для удаленного изменения параметров подключенных видеокамер. Пользователю достаточно отправить POST-запрос на веб-интерфейс, чтобы получить права администратора. После этого злоумышленник может перехватить весь исходящий трафик либо превратить камеру в одного из «зомби» системы ботнет.
Лазейка обнаружена в камерах, на которых установлен софт DH_IPC-ACK-Themis_Eng_P_V2.400.0000.14.R и более ранние его версии. Чтобы решить проблему необходимо обновить программное обеспечение до DH_IPC-Consumer-Zi-Themis_Eng_P_V2.408.0000.11.R.20170621.
Эксперты PT отмечают, что потенциальной опасности сегодня подвержены около 3,5 млн IP-камер во всех странах мира. Порядка 90 процентов подобных систем видеонаблюдения имеют различные уязвимости.