Kamerák biztonsági réseit foltozta be az Axis

​Az Axis Communications hét olyan biztonsági rést foltozott be, amelyek megközelítőleg 400 különféle típusú kamerát sújtanak.
 

A VDOO biztonsági cég az elmúlt időszakban egyebek mellett az Axis kameráit is alaposan szemügyre vette. A szakértői leginkább biztonsági rések után kutattak, nem is sikertelenül. Összesen hét sebezhetőséget tártak fel a vállalat megoldásaiban. Ezekről egy részletes beszámolót készítettek, amelyet először az Axis szakembereivel osztottak meg. Miután a fejlesztők elkészültek a szükséges firmware frissítésekkel, azokat kiadták, majd a VDOO a nyilvánosság elé tárta a felfedezéseit.
 
A biztonsági kutatók által kimutatott hét sérülékenység a következő:
 
CVE-2018-10658 - /bin/ssid összeomlás
CVE-2018-10659 - /bin/ssid összeomlás
CVE-2018-10660 - Shell parancsok befecskendezése
CVE-2018-10661 - Authorizációs rendellenességek, biztonsági megkötések megkerülése
CVE-2018-10662 - hibás dbus hozzáféréskezelés
CVE-2018-10663 - Adatszivárgás lehetősége a /bin/ssid folyamatban
CVE-2018-10664 - összeomló httpd folyamat
 
A fenti rendellenességek közül három - CVE-2018-10660, CVE-2018-10661, CVE-2018-10662 - jelent komolyabb kockázatot, ugyanis ezek kihasználásával a támadók átvehetik a kamerák feletti irányítást anélkül, hogy ehhez bármiféle hiteleső adatot ismerniük kellene. Mindössze a kiszemelt eszközök IP-címével kell rendelkezniük. Ezt követően kémkedhetnek, illetve manipulálhatják a kamerák működését.
 
A biztonsági szakemberek minden érintett felhasználó, illetve üzemeltető számára a mielőbbi frissítést javasolják.