Los investigadores de seguridad acaban de informar de tres vulnerabilidades de seguridad (CVE-2021-31986, CVE-2021-31987, CVE-2021-31988) en los productos de vídeo de Axis, que podría explotarse en diversos ataques contra empresas.
Las fallas se encuentran en los sistemas de videovigilancia IP de Axis y podrían permitir la ejecución de código arbitrario..
CVE-2021-31986, CVE-2021-31987, CVE-2021-31988
Las vulnerabilidades fueron descubierto por investigadores de Nozomi Networks Labs mientras examinaban Axis Companion Recorded, una grabadora de video en red compacta (NVR) almacenar video de vigilancia IP de las cámaras conectadas.
Durante su análisis, los investigadores descubrieron los siguientes problemas:
- Desbordamiento de búfer basado en montón (CVE-2021-31986, CVSSv3 6.7)
- Validación incorrecta del destinatario en las funciones de prueba de red (CVE-2021-31987, CVSSv3 4.1)
- Inyección de encabezado SMTP en la funcionalidad de prueba de correo electrónico (CVE-2021-31988, CVSSv3 5.5)
Los ataques basados en las vulnerabilidades requieren la interacción del usuario – la víctima potencial, iniciado sesión en el dispositivo, debe visitar una página web diseñada específicamente y hacer clic en un enlace malicioso. En otras palabras, explotar las fallas no requiere experiencia específica, los investigadores señalaron.
Mitigación
Axis está trabajando actualmente en la publicación de parches para todos los dispositivos afectados.:
CVE-2021-31986 y CVE-2021-31988
Pista activa de AXIS OS 10.7
SO AXIS 2016 Pista LTS 6.50.5.5
SO AXIS 2018 Pista LTS 8.40.4.3
SO AXIS 2020 Pista LTS 9.80.3.5CVE-2021-31987
Pista activa de AXIS OS 10.8
SO AXIS 2016 Pista LTS 6.50.5.5
SO AXIS 2018 Pista LTS 8.40.4.3
SO AXIS 2020 Pista LTS 9.80.3.5
La empresa insta a los usuarios a descargar e instalar la última versión de firmware del sitio web oficial de Axis para proteger sus dispositivos de los ciberataques..
Esta no es la primera vez que los investigadores de seguridad descubren problemas de seguridad en las cámaras Axis.. Hace unos pocos años, Se descubrieron varias vulnerabilidades críticas en 400 modelos de cámaras Axis. Las fallas podrían permitir a los hackers tomar el control total de la cámara afectada o se enredan en redes de bots.
VDOO investigadores desenterraron las vulnerabilidades que podrían verse comprometidas a través de la dirección IP de la cámara. Como resultado hackers podrían espiar a todos los registros de audio o vídeo.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: