I ricercatori di sicurezza hanno appena segnalato tre vulnerabilità di sicurezza (CVE-2021-31986, CVE-2021-31987, CVE-2021-31988) nei prodotti video Axis, che potrebbe essere sfruttato in vari attacchi contro le imprese.
I difetti si trovano nei sistemi di videosorveglianza IP Axis e potrebbero consentire l'esecuzione di codice arbitrario.
CVE-2021-31986, CVE-2021-31987, CVE-2021-31988
Le vulnerabilità sono state scoperto dai ricercatori di Nozomi Networks Labs durante l'esame di Axis Companion Recorded, un videoregistratore di rete compatto (NVR) memorizzazione di video di sorveglianza IP da telecamere collegate.
Durante la loro analisi, i ricercatori hanno scoperto i seguenti problemi:
- Overflow del buffer basato su heap (CVE-2021-31986, CVSSv3 6.7)
- Convalida del destinatario non corretta nelle funzionalità di test di rete (CVE-2021-31987, CVSSv3 4.1)
- Iniezione dell'intestazione SMTP nella funzionalità di test della posta elettronica (CVE-2021-31988, CVSSv3 5.5)
Gli attacchi basati sulle vulnerabilità richiedono l'interazione dell'utente – la potenziale vittima, effettuato l'accesso al dispositivo, dovrebbe visitare una pagina Web appositamente predisposta e fare clic su un collegamento dannoso. In altre parole, sfruttare i difetti non richiede competenze specifiche, i ricercatori hanno sottolineato.
attenuazione
Axis sta attualmente lavorando al rilascio di patch per tutti i dispositivi interessati:
CVE-2021-31986 e CVE-2021-31988
Sistema operativo AXIS Traccia attiva 10.7
Sistema operativo AXIS 2016 Traccia LTS 6.50.5.5
Sistema operativo AXIS 2018 Traccia LTS 8.40.4.3
Sistema operativo AXIS 2020 Traccia LTS 9.80.3.5CVE-2021-31987
Sistema operativo AXIS Traccia attiva 10.8
Sistema operativo AXIS 2016 Traccia LTS 6.50.5.5
Sistema operativo AXIS 2018 Traccia LTS 8.40.4.3
Sistema operativo AXIS 2020 Traccia LTS 9.80.3.5
L'azienda invita gli utenti a scaricare e installare l'ultima versione del firmware dal sito Web ufficiale di Axis per proteggere i propri dispositivi dagli attacchi informatici.
Questa non è la prima volta che i ricercatori della sicurezza scoprono problemi di sicurezza nelle telecamere Axis. Alcuni anni fa, diverse vulnerabilità critiche sono state scoperte in 400 modelli di fotocamere Axis. I difetti potrebbero consentire agli hacker di prendere il pieno controllo sulla telecamera interessata o impigliare in botnet.
ricercatori VDOO portato alla luce le vulnerabilità che potrebbe essere compromessa tramite l'indirizzo IP della telecamera. Di conseguenza gli hacker potrebbero spiare tutti i record audio o video.