セキュリティ研究者は、3つのセキュリティの脆弱性を報告しました (CVE-2021-31986, CVE-2021-31987, CVE-2021-31988) Axisビデオ製品, これは、企業に対するさまざまな攻撃に悪用される可能性があります.
欠陥はAxisIPビデオ監視システムにあり、任意のコードが実行される可能性があります.
CVE-2021-31986, CVE-2021-31987, CVE-2021-31988
脆弱性は 発見した 記録された軸コンパニオンを調べている間のNozomiNetworksLabsの研究者による, コンパクトなネットワークビデオレコーダー (NVR) 接続されたカメラからのIP監視ビデオの保存.
彼らの分析中, 研究者は以下の問題を発見しました:
- ヒープベースのバッファオーバーフロー (CVE-2021-31986, CVSSv3 6.7)
- ネットワークテスト機能での不適切な受信者の検証 (CVE-2021-31987, CVSSv3 4.1)
- 電子メールテスト機能でのSMTPヘッダーインジェクション (CVE-2021-31988, CVSSv3 5.5)
脆弱性に基づく攻撃には、ユーザーの操作が必要です – 潜在的な犠牲者, デバイスにログインしました, 特別に細工されたWebページにアクセスし、悪意のあるリンクをクリックする必要があります. 言い換えると, 欠陥を悪用することは特定の専門知識を必要としません, 研究者は指摘した.
緩和
Axisは現在、影響を受けるすべてのデバイスのパッチのリリースに取り組んでいます:
CVE-2021-31986およびCVE-2021-31988
AXISOSアクティブトラック 10.7
AXIS OS 2016 LTSトラック 6.50.5.5
AXIS OS 2018 LTSトラック 8.40.4.3
AXIS OS 2020 LTSトラック 9.80.3.5CVE-2021-31987
AXISOSアクティブトラック 10.8
AXIS OS 2016 LTSトラック 6.50.5.5
AXIS OS 2018 LTSトラック 8.40.4.3
AXIS OS 2020 LTSトラック 9.80.3.5
同社は、サイバー攻撃からデバイスを保護するために、Axisの公式Webサイトから最新のファームウェアバージョンをダウンロードしてインストールすることをユーザーに推奨しています。.
セキュリティ研究者がAxisカメラのセキュリティ問題を発見するのはこれが初めてではありません. 数年前, いくつかの重大な脆弱性が 400 Axisカメラモデル. この欠陥により、ハッカーは影響を受けたカメラを完全に制御したり、ボットネットに巻き込んだりする可能性があります。.
VDOOの研究者は、カメラのIPアドレスを介して侵害される可能性のある脆弱性を発掘しました. その結果、ハッカーはオーディオまたはビデオの記録をスパイする可能性があります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: