Les chercheurs en sécurité viennent de signaler trois failles de sécurité (CVE-2021-31986, CVE-2021-31987, CVE-2021-31988) dans les produits vidéo Axis, qui pourraient être exploitées dans diverses attaques contre des entreprises.
Les failles sont localisées dans les systèmes de vidéosurveillance IP Axis et pourraient permettre l'exécution de code arbitraire.
CVE-2021-31986, CVE-2021-31987, CVE-2021-31988
Les vulnérabilités ont été découvert par les chercheurs de Nozomi Networks Labs lors de l'examen d'Axis Companion Recorded, un enregistreur vidéo réseau compact (NVR) stockage de la vidéo de surveillance IP à partir des caméras connectées.
Au cours de leur analyse, les chercheurs ont découvert les problèmes suivants:
- Débordement de tampon basé sur le tas (CVE-2021-31986, CVSSv3 6.7)
- Validation incorrecte du destinataire dans les fonctionnalités de test du réseau (CVE-2021-31987, CVSSv3 4.1)
- Injection d'en-tête SMTP dans la fonctionnalité de test de messagerie (CVE-2021-31988, CVSSv3 5.5)
Les attaques basées sur les vulnérabilités nécessitent une interaction de l'utilisateur – la victime potentielle, connecté à l'appareil, devrait visiter une page Web spécialement conçue et cliquer sur un lien malveillant. En d'autres termes, exploiter les failles ne nécessite pas d'expertise spécifique, les chercheurs ont souligné.
Atténuation
Axis travaille actuellement sur la publication de correctifs pour tous les appareils concernés:
CVE-2021-31986 et CVE-2021-31988
AXIS OS Piste active 10.7
AXIS OS 2016 piste LTS 6.50.5.5
AXIS OS 2018 piste LTS 8.40.4.3
AXIS OS 2020 piste LTS 9.80.3.5CVE-2021-31987
AXIS OS Piste active 10.8
AXIS OS 2016 piste LTS 6.50.5.5
AXIS OS 2018 piste LTS 8.40.4.3
AXIS OS 2020 piste LTS 9.80.3.5
La société exhorte les utilisateurs à télécharger et à installer la dernière version du micrologiciel à partir du site Web officiel d'Axis pour protéger leurs appareils contre les cyberattaques.
Ce n'est pas la première fois que des chercheurs en sécurité découvrent des problèmes de sécurité dans les caméras Axis. Il y a quelques années, plusieurs vulnérabilités critiques ont été découvertes dans 400 modèles de caméras Axis. Les défauts pourraient permettre à des pirates de prendre le contrôle total sur la caméra concernée ou les enchevêtrent dans les réseaux de zombies.
les chercheurs ont déterré VDOO les vulnérabilités qui pourraient être compromises par l'adresse IP de la caméra. En conséquence les pirates pourraient espionner tous les enregistrements audio ou vidéo.