いくつかの重大な脆弱性が発見されました 400 Axisカメラモデル. この欠陥により、ハッカーは影響を受けたカメラを完全に制御したり、ボットネットに巻き込んだりする可能性があります。. VDOOの研究者は、カメラのIPアドレスを介して侵害される可能性のある脆弱性を発掘しました. その結果、ハッカーはオーディオまたはビデオの記録をスパイする可能性があります.
Axisカメラの脆弱性の詳細
脆弱性の正確な数は7つです: CVE-2018-10658, CVE-2018-10659, CVE-2018-10660, CVE-2018-10661, CVE-2018-10662, CVE-2018-10663, およびCVE-2018-10664. 研究者によると, 一部の脆弱性は、1回の攻撃で連鎖する可能性があります:
報告された3つの脆弱性を連鎖させると、認証されていないリモートの攻撃者がネットワーク経由でカメラのログインページにアクセスできるようになります (カメラへの以前のアクセスまたはカメラへのクレデンシャルなし) 影響を受けるカメラを完全に制御する.
さらに, 脆弱なカメラのルート制御を取得した攻撃者は、ビデオストリームにアクセスしてフリーズすることにより、カメラの動作に影響を与える可能性もあります。. 彼らはまたオーディオを聞くことができました, カメラの動きを制御する, ボットネットにカメラを含めます. カメラのソフトウェアも改ざんされる可能性があります. カメラは、DDoS攻撃のエントリポイントとしても展開できます.
関連している: FoscamIPカメラに見られる3つの脆弱性 (CVE-2018-6830)
ZDNetとの会話で, VDOO CTO Asaf Karas 言った ルートアクセスの欠陥は、攻撃者が「カメラのあらゆる機能を実際に使用できます」. “適切なリソースで, 誰かがパッチを当てる前にそのような脆弱性を長い間知っている場合 — 彼または彼女は間違いなく個人のプライバシーと組織のセキュリティを重大な方法で侵害する可能性があります; また、影響を受けるカメラの多くを使用して他のターゲットを攻撃する可能性があります,” 彼が追加した.
幸運, 研究者は、いくつかの脆弱性が実際に悪用されていないことを報告しています, 少なくとも彼らの知識の及ぶ限りでは. 言い換えると, 欠陥が具体的なプライバシー侵害やその他のセキュリティ上の脅威につながっていない.
提供事業者, 軸, 影響を受ける製品について通知され、更新されたファームウェアがリリースされました. これは、調査が公開される2か月前に行われました。. これはアクシスが言ったことです:
Axisはすでに脆弱性について通知を受けており、調査が公開される2か月前に、影響を受けるすべての製品の更新されたファームウェアをリリースしています。. Axisは、影響を受けるAxis製品のファームウェアを制御された方法で更新することをエンドユーザーに強くお勧めします. アップグレードされたファームウェアをコスト効率よく展開するには, Axisは、AxisDeviceManagerツールの使用を推奨しています, 利用可能なファームウェアを継続的に監視して通知します.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: