Plusieurs vulnérabilités critiques ont été découvertes dans certains 400 modèles de caméras Axis. Les défauts pourraient permettre à des pirates de prendre le contrôle total sur la caméra concernée ou les enchevêtrent dans les réseaux de zombies. les chercheurs ont déterré VDOO les vulnérabilités qui pourraient être compromises par l'adresse IP de la caméra. En conséquence les pirates pourraient espionner tous les enregistrements audio ou vidéo.
En savoir plus sur les vulnérabilités dans les caméras Axis
Le nombre exact de vulnérabilités est de sept: CVE-2018-10658, CVE-2018-10659, CVE-2018-10660, CVE-2018-10661, CVE-2018-10662, CVE-2018-10663, et CVE-2018-10664. Selon les chercheurs, certaines des vulnérabilités pourraient être enchaînées ensemble dans une seule attaque:
Chaînage trois des ces vulnérabilités ensemble permet à un attaquant distant non authentifié qui a accès à la page de connexion de la caméra via le réseau (sans précédent accès à la caméra ou des informations d'identification à la caméra) pour contrôler complètement la caméra affectée.
En outre, un attaquant qui a obtenu le contrôle des racines sur les caméras vulnérables pourrait également influencer la façon dont les caméras travail en accédant et en gelant leur flux vidéo. Ils peuvent également écouter audio, contrôler le mouvement de la caméra, et inclure la caméra dans un botnet. Le logiciel de l'appareil pourrait également être trafiqué. La caméra peut également être déployé en tant que point d'entrée pour les attaques DDoS.
en relation: Trois vulnérabilités trouvées dans Foscam Caméras IP (CVE-2018-6830)
Dans une conversation avec ZDNet, VDOO CTO Asaf Karas dit que les défauts d'accès racine sont tellement menaçant parce que l'attaquant «pourrait pratiquement utiliser une caractéristique de la caméra et au-delà". “Avec les bonnes ressources, si quelqu'un sait de ces vulnérabilités pour longtemps avant qu'ils ne soient patchés — il ou elle pourrait certainement porter atteinte à la vie privée de la personne et la sécurité de l'organisation d'une manière significative; et pourrait aussi attaquer d'autres cibles en utilisant la plupart des caméras affectées,” il ajouta.
Heureusement, les chercheurs ont rapporté que plusieurs vulnérabilités ont pas été exploitée dans la nature, comme moins au mieux de leurs connaissances. En d'autres termes, les défauts ont donné lieu à aucune violation de la vie privée du béton ou une autre menace pour la sécurité.
Le vendeur, Axe, a été informé et mis à jour le firmware a été publié pour les produits visés. Cela a été fait deux mois avant que la recherche est devenue publique. C'est ce que ledit axe:
Axe a déjà été informé des vulnérabilités et ont publié firmware mis à jour pour tous les produits concernés deux mois avant que la recherche a été publié. Axis recommande vivement aux utilisateurs finaux de mettre à jour firmware pour les produits Axis affectés d'une manière contrôlée. Pour déployer efficacement le coût mis à jour le firmware, Axis recommande d'utiliser l'outil Axis Gestionnaire de périphériques, qui surveillera en permanence et informer du firmware disponible.