Карта сайта
Обратная связь

443086, Россия, г. Самара
ул. Ерошевского, дом 3а
+7 (846) 334-19-00, 334-19-20,
334-34-99, 334-47-71
info@kb-sb.ru
Полная контактная информация


Обнаружена уязвимость в защите 35 моделей IP-видеокамер для систем наблюдения

Веб-сервер, интегрированный во множество IP-камер систем наблюдения, имеет уязвимости, делающие данные устройства незащищенными от взлома. Об этом заявил специалист в области информационной безопасности, пишущий под псевдонимом Slipstream.

Дистанционный контроль над любым устройством, в котором применяется этот веб-сервер, перехватывается одним GET-запросом перед началом верификации пароля. Потом тот, кто отправил запрос, сможет управлять видеокамерой и видеть то же, что и она. 

Приложение, с помощью которого можно перехватить контроль, пользователь Slipstream загрузил на GitHub – портал для коллективного создания программного обеспечения и других ИТ-проектов. Он изучил прошивку одной из видеокамер и отыскал в ней уязвимость. До этого Slipstream уже делился на данном сайте сведениями об обнаруженных уязвимостях в программах для английских учебных заведений, компьютерах производителя Dell и утилите Secure Boot, не позволяющей устанавливать другие операционные системы на устройства, работающие под последними версиями Windows.

Теперь пользователь отыскал параметр, при внесении которого в GET-запрос, отсылаемый на веб-сервер, содержание данного запроса дублируется в буферную память. Но так как объем буфера составляет всего 256 байт, при добавлении в запрос большего числа наступает его переполнение. В результате сервер переходит под контроль взломщика.

Профессионалы, как правило, советуют владельцам IP-устройств изменять пароли по умолчанию, предустановленные изготовителем. Тем не менее, в случае уязвимости, найденной Slipstream, такое действие будет бесполезным, ведь перехват контроля над веб-сервером происходит еще до верификации пароля.

Эта «дыра» присутствует в IP-камерах фирмы UCam247. Но не исключено, что причиной уязвимости являются видеокамеры производителя Titathink, чьи товары перепродают под собственными марками многие компании.


Комментари к статье:


 
Концепции безопасности