Sikkerhedsforskere har netop rapporteret om tre sikkerhedsrisici (CVE-2021-31986, CVE-2021-31987, CVE-2021-31988) i Axis videoprodukter, der kunne udnyttes i forskellige angreb mod virksomheder.
Fejlene er placeret i Axis IP videoovervågningssystemer og kan muliggøre vilkårlig kodeudførelse.
CVE-2021-31986, CVE-2021-31987, CVE-2021-31988
Sårbarhederne var opdaget af Nozomi Networks Labs -forskere, mens de undersøgte Axis Companion Recorded, en kompakt netværksvideooptager (NVR) lagring af IP -overvågningsvideo fra tilsluttede kameraer.
Under deres analyse, forskerne afdækkede følgende spørgsmål:
- Bunkebaseret bufferoverløb (CVE-2021-31986, CVSSv3 6.7)
- Forkert modtagervalidering i netværkstestfunktioner (CVE-2021-31987, CVSSv3 4.1)
- SMTP header -indsprøjtning i e -mail -testfunktionalitet (CVE-2021-31988, CVSSv3 5.5)
Angreb baseret på sårbarhederne kræver brugerinteraktion – det potentielle offer, logget ind på enheden, skal besøge en specielt udformet webside og klikke på et ondsindet link. Med andre ord, at udnytte manglerne kræver ikke særlig ekspertise, forskerne påpegede.
Mitigation
Axis arbejder i øjeblikket på at frigive patches til alle berørte enheder:
CVE-2021-31986 og CVE-2021-31988
AXIS OS Aktivt spor 10.7
AXIS OS 2016 LTS spor 6.50.5.5
AXIS OS 2018 LTS spor 8.40.4.3
AXIS OS 2020 LTS spor 9.80.3.5CVE-2021-31987
AXIS OS Aktivt spor 10.8
AXIS OS 2016 LTS spor 6.50.5.5
AXIS OS 2018 LTS spor 8.40.4.3
AXIS OS 2020 LTS spor 9.80.3.5
Virksomheden opfordrer brugerne til at downloade og installere den nyeste firmwareversion fra det officielle Axis -websted for at beskytte deres enheder mod cyberangreb.
Det er ikke første gang, sikkerhedsforskere afdækker sikkerhedsproblemer i Axis -kameraer. Et par år siden, flere kritiske sårbarheder blev afdækket i 400 Axis kameramodeller. Fejlene kan tillade hackere at tage fuld kontrol over det berørte kamera eller vikle dem i botnet.
VDOO forskere afdækket de sårbarheder, der kunne kompromitteret via IP-adressen på kameraet. Som et resultat hackere kunne udspionere nogen lyd- eller videooptagelser.