Varias vulnerabilidades críticas se han descubierto en algunos 400 modelos de cámaras Axis. Las fallas podrían permitir a los hackers tomar el control total de la cámara afectada o se enredan en redes de bots. VDOO investigadores desenterraron las vulnerabilidades que podrían verse comprometidas a través de la dirección IP de la cámara. Como resultado hackers podrían espiar a todos los registros de audio o vídeo.
Más información sobre las vulnerabilidades en cámaras Axis
El número exacto de vulnerabilidades es de siete: CVE-2018-10658, CVE-2.018-10.659, CVE-2.018-10.660, CVE-2018 a 10661, CVE-2.018 a 10.662, CVE-2018-10.663, y CVE-2018-10.664. De acuerdo con los investigadores, algunas de las vulnerabilidades podrían ser encadenados juntos en un solo ataque:
Encadenando tres de las vulnerabilidades reportadas en conjunto permite a un atacante remoto no autenticado que tiene acceso a la página de inicio de sesión de la cámara a través de la red (sin acceso previo a la cámara o credenciales a la cámara) para controlar totalmente la cámara afectada.
Además, un atacante que obtiene el control de la raíz sobre las cámaras vulnerables también podría influir en la forma en que el trabajo de las cámaras de congelación y accediendo a su secuencia de vídeo. También podrían escuchar el audio, controlar el movimiento de la cámara, e incluir la cámara en una red de bots. El software de la cámara también podría ser manipulado. La cámara también se puede implementar como un punto de entrada para los ataques DDoS.
Relacionado: Tres vulnerabilidades encontradas en Cámaras IP Foscam (CVE-2018-6830)
En una conversación con ZDNet, VDOO CTO Asaf Karas dijo que los defectos de la raíz de acceso son tan amenazantes debido a que el atacante “Prácticamente podía utilizar cualquier característica de la cámara y más allá". “Con los recursos adecuados, si alguien sabe de este tipo de vulnerabilidades durante mucho tiempo antes de que se remiendan — él o ella definitivamente podría violar la privacidad de seguridad individual y de la organización de manera significativa; y también podría atacar otros objetivos utilizando muchas de las cámaras afectadas,” agregó.
Afortunadamente, los investigadores han informado de que las diversas vulnerabilidades no han sido explotados en la naturaleza, como mínimo a lo mejor de sus conocimientos. En otras palabras, los defectos no han conducido a ninguna violación de la privacidad de hormigón o de otra amenaza a la seguridad.
El vendedor, Eje, se ha informado y actualizado el firmware se ha lanzado para los productos afectados. Esto se hizo dos meses antes de que la investigación se hizo pública. Esto es lo que dicho eje:
Eje ya ha sido notificado de las vulnerabilidades y han lanzado firmware actualizado para todos los productos afectados dos meses antes de la investigación fue publicada. Eje recomienda encarecidamente a los usuarios finales para actualizar el firmware de los productos de Axis afectadas de una manera controlada. A un costo eficiente desplegar el firmware actualizado, Eje recomienda el uso de la herramienta de eje Administrador de dispositivos, que supervisará continuamente y notificar de firmware disponible.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: