Эксперт обнаружил уязвимость в IP-камерах Dahua

Уязвимость в IP-камерах от Dahua Technology выявил специалист компании Positive Technologies Илья Смит.  Угрозе подвержены тысячи камер, установленных в банках, на объектах энергетики и транспорта, которые выпускает Dahua, сообщает пресс-служба PT.

Найденную экспертом уязвимость CVE-2017-3223 оценили в 10 из 10 баллов  по шкале CVSS Base Score. Получить доступ к устройству можно с помощью переполнения буфера в интерфейсе Sonia, который используется для удаленного изменения параметров подключенных  видеокамер. Пользователю достаточно отправить POST-запрос  на веб-интерфейс, чтобы получить права администратора. После этого злоумышленник может перехватить весь исходящий трафик либо превратить камеру в одного из «зомби» системы ботнет. 

Лазейка обнаружена в камерах, на которых установлен софт DH_IPC-ACK-Themis_Eng_P_V2.400.0000.14.R и более ранние его версии.  Чтобы решить проблему необходимо обновить программное обеспечение до DH_IPC-Consumer-Zi-Themis_Eng_P_V2.408.0000.11.R.20170621. 

Эксперты PT отмечают, что потенциальной опасности сегодня подвержены около 3,5 млн IP-камер во всех странах мира. Порядка 90 процентов подобных систем видеонаблюдения имеют различные уязвимости.