Flere kritiske sårbarheder er blevet afsløret i nogle 400 Axis kameramodeller. Fejlene kan tillade hackere at tage fuld kontrol over det berørte kamera eller vikle dem i botnet. VDOO forskere afdækket de sårbarheder, der kunne kompromitteret via IP-adressen på kameraet. Som et resultat hackere kunne udspionere nogen lyd- eller videooptagelser.
Mere om Sårbarheder i Axis kameraer
Det nøjagtige antal sårbarheder er syv: CVE-2018-10.658, CVE-2018-10.659, CVE-2018-10.660, CVE-2018-10.661, CVE-2018-10.662, CVE-2018-10.663, og CVE-2018-10.664. Ifølge forskerne, nogle af de sårbarheder kunne være lænket sammen i et enkelt angreb:
Sammenkædning tre af de rapporterede sårbarheder sammen giver en ikke-godkendt, ekstern hacker, der har adgang til kameraet login-side gennem netværket (uden forudgående adgang til kameraet eller legitimationsoplysninger til kameraet) til fuldt ud at kontrollere påvirket kamera.
Endvidere, en hacker, som opnåede rod kontrol over de sårbare kameraer kan også påvirke den måde, kameraer arbejde ved at få adgang til og frysning deres videostream. De kunne også lytte til lyd, styre kameraets bevægelser, og omfatter kameraet i et botnet. Kameraets software kunne også pillet. Kameraet kan også implementeres som en indgang for DDoS-angreb.
Relaterede: Tre Sårbarheder Fundet i Foscam IP Kameraer (CVE-2018-6830)
I en samtale med ZDNet, VDOO CTO Asaf Karas sagde at rod-adgang fejl er så truende, fordi angriberen ”kunne næsten bruge nogen funktion i kameraet og ud over". “Med de rigtige ressourcer, hvis nogen kender til sådanne sårbarheder i lang tid, før de er lappet — han eller hun kunne definitivt krænke enkeltes privatliv og organisationens sikkerhed på en væsentlig måde; og også kunne angribe andre mål ved hjælp af mange af de berørte kameraer,” han tilføjede.
Heldigvis, forskerne har rapporteret, at de flere sårbarheder ikke er blevet udnyttet i naturen, som mindst til deres bedste overbevisning. Med andre ord, fejlene har ikke ført til nogen konkret privatliv overtrædelse eller en anden sikkerhedstrussel.
sælgeren, Akse, er blevet informeret og opdateret firmware er blevet frigivet til de berørte produkter. Dette blev gjort to måneder før forskningen blev børsnoteret. Dette er, hvad Axis sagde:
Axis er allerede blevet anmeldt af de sårbarheder og har udgivet opdateret firmware for alle berørte produkter to måneder før forskningen blev offentliggjort. Axis anbefaler kraftigt slutbrugere til at opdatere firmwaren til berørte Axis produkter på en kontrolleret måde. For at koste effektivt implementere den opgraderede firmware, Axis anbefaler at bruge værktøjet Axis Device Manager, der løbende skal overvåge og anmelde af tilgængelige firmware.