Beveiligingsonderzoekers hebben zojuist drie beveiligingsproblemen gemeld (CVE-2021-31986, CVE-2021-31987, CVE-2021-31988) in Axis-videoproducten, die kunnen worden misbruikt bij verschillende aanvallen op bedrijven.
De fouten bevinden zich in Axis IP-videobewakingssystemen en kunnen leiden tot uitvoering van willekeurige code.
CVE-2021-31986, CVE-2021-31987, CVE-2021-31988
De kwetsbaarheden waren ontdekt door Nozomi Networks Labs-onderzoekers tijdens het bestuderen van Axis Companion Recorded, een compacte netwerkvideorecorder (NVR) opslaan van IP-bewakingsvideo van aangesloten camera's.
Tijdens hun analyse, de onderzoekers ontdekten de volgende problemen::
- Op heap gebaseerde bufferoverloop (CVE-2021-31986, CVSSv3 6.7)
- Onjuiste ontvangervalidatie in netwerktestfunctionaliteiten (CVE-2021-31987, CVSSv3 4.1)
- SMTP-header-injectie in e-mailtestfunctionaliteit (CVE-2021-31988, CVSSv3 5.5)
Aanvallen op basis van de kwetsbaarheden vereisen gebruikersinteractie – het potentiële slachtoffer, ingelogd op het apparaat, moet een specifiek vervaardigde webpagina bezoeken en op een schadelijke link klikken. Met andere woorden, het exploiteren van de gebreken vereist geen specifieke expertise, de onderzoekers wezen erop.
verzachting
Axis werkt momenteel aan het vrijgeven van patches voor alle betrokken apparaten:
CVE-2021-31986 en CVE-2021-31988
AXIS OS Actief spoor 10.7
AXIS-besturingssysteem 2016 LTS-track 6.50.5.5
AXIS-besturingssysteem 2018 LTS-track 8.40.4.3
AXIS-besturingssysteem 2020 LTS-track 9.80.3.5CVE-2021-31987
AXIS OS Actief spoor 10.8
AXIS-besturingssysteem 2016 LTS-track 6.50.5.5
AXIS-besturingssysteem 2018 LTS-track 8.40.4.3
AXIS-besturingssysteem 2020 LTS-track 9.80.3.5
Het bedrijf dringt er bij gebruikers op aan om de nieuwste firmwareversie van de officiële Axis-website te downloaden en te installeren om hun apparaten te beschermen tegen cyberaanvallen.
Dit is niet de eerste keer dat beveiligingsonderzoekers beveiligingsproblemen in Axis-camera's ontdekken. Een paar jaar geleden, verschillende kritieke kwetsbaarheden werden ontdekt in 400 Axis camera modellen. De gebreken kan leiden tot hackers om de volledige controle te nemen over het getroffen camera of verstrikken ze in botnets.
VDOO onderzoekers opgegraven de kwetsbaarheden die via het IP-adres van de camera kan worden aangetast. Als gevolg hackers bespioneert geen audio- of video-opnamen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: