Форум | Объявления | Новинки | Журнал | iMag | Электронная газета | Подписка | Архив | Медиакиты | Мероприятия

Журналы в формате iMag

Форум

Публикации

Архив


Новости проекта

Системная интеграция

Отраслевые

Новости CCTV

Новости СКУД

Новости ОПС

Новости ПБ

Электронная газета "Системы безопасности"


Журнал "Системы безопасности"

Каталог "Системы безопасности"

Каталог "Пожарная безопасность"

Рекламодателям


Video & Vision

СКУД. Антитерроризм


Подписка

Платная подписка

Исторический календарь

Контакты

Ссылки

Мероприятия

English

IP - камеры компании Foscam содержат 18 уязвимостей, исправлений для которых нет

Реклама на сайте

IP - камеры компании Foscam содержат 18 уязвимостей, исправлений для которых нет


09.06.2017

IP - камеры компании Foscam содержат 18 уязвимостей, исправлений для которых нет

Специалисты компании F-Secure изучили работу IP-камер Opticam i5 и Foscam C2, известного китайского производителя Foscam, и обнаружили 18 уязвимостей, которые делают использование устройств попросту опасным.

Все подробности об обнаруженных багах можно найти в официальном отчете исследователей (PDF), а здесь мы приведем краткий список проблем.

  • Неслучайные учетные данные для пользовательского аккаунта веб-интерфейса (admin, без пароля).

  • Аккаунт FTP-сервера доступен без пароля.

  • Аккаунт FTP-сервера имеет жестко закодированный пароль.

  • Настройки бэкапов защищены жестко закодированным паролем.

  • Обнаружены скрытые, жестко закодированные учетные данные для веб-интерфейса.

  • Найдена скрытая функциональность Telnet.

  • Уязвимость перед удаленными инъекциями команд в User Add.

  • Уязвимость перед удаленными инъекциями команд в /mnt/mtd/boot.sh via ProductConfig.xml.

  • Через ONVIF SetDNS, без авторизации доступна уязвимость перед удаленными инъекциями команд.

  • Некорректное назначение прав при старте /mnt/mtd/boot.sh.

  • Некорректное назначение прав для директории /mnt/mtd/app.

  • Возможность без аутентификации узнать учетные данные администратора через ONVIF GetStreamUri.

  • Возможна перезагрузка через ONVIF SystemReboot, без аутентификации.

  • Встроенный брандмауэр раскрывает данные о легитимность учетных данных.

  • Нет ограничений, направленных против множественных попыток входа.

  • DoS-уязвимость, позволяющая прервать работу RTSP.

  • Без авторизации доступна XSS-уязвимость в ONVIF SetHostname.

  • Переполнение буфера в ONVIF SetDNS.

Исследователи пишут, что такое изобилие багов делает возможными самые разные сценарии атак. К примеру, злоумышленник может просматривать поковое видео с камеры и скачивать файлы со встроенного FTP-сервера (или загружать данные на него). Также атакующий может прервать видеопоток и использовать скомпрометированное устройство для DDoS-атак и другой вредоносной активности.

Эксперты F-Secure предупреждают, что на базе дейвайсов Foscam строятся многие другие white-label камеры. Следовательно, большинство найденных уязвимостей , скорее всего, присутствуют так же в устройствах Chacon, Thomson, 7links, Netis, Turbox, Novodio, Ambientcam, Nexxt, Technaxx, Qcam, Ivue, Ebode и Sab.

Хотя аналитики F-Secure сообщили разработчикам Foscam о проблемах еще несколько месяцев назад, производитель до сих пор не выпустил патчи. Специалисты рекомендуют администраторам немедленно прекратить использование уязвимых камер, так как эксплуатация уязвимостей может привести к компрометации всей сети организации.

Хакер


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

РАССЫЛКА

Подписка на новости сайта
Введите ваш e-mail


Реклама на сайте

Анонс



Свежий номер журнала "Системы безопасности"

Вызов консультанта

СТАТЬИ


• Четверть века в истории: серебряный юбилей ГК Траскон
• Решение для автоматизации предрейсовых осмотров водителей автотранспортных компаний
• Трансформация розницы: в поисках правильной цифровой стратегии
• Сегмент, которого нет? Поворотные мини-купольные камеры
• Человеческий фактор в системе контроля и управления доступом
• Противопожарные двери как элемент пожарной системы здания


Видеонаблюдение (CCTV)
Видеорегистрация (DVR)
IP-security
Охранно-пожарная сигнализация
Директор по безопасности
Системы ограничения и контроля доступа
Комплексные системы безопасности
В центре внимания. Тесты
Пожарная безопасность





Рейтинг@Mail.ru
Рейтинг@Mail.ru
Rambler's Top100
Яндекс цитирования


Реклама на сайте | Правила перепечатки материалов | Контакты

Copyright © 2007-2014, ООО "Гротек"