Várias vulnerabilidades críticas foram descobertas em alguns 400 Modelos de câmera Axis. As falhas podem permitir que os hackers tenham controle total sobre a câmera afetada ou os enrede em botnets. Os pesquisadores do VDOO descobriram as vulnerabilidades que podem ser comprometidas por meio do endereço IP da câmera. Como resultado, os hackers podem espionar qualquer registro de áudio ou vídeo.
Mais sobre as vulnerabilidades nas câmeras Axis
O número exato de vulnerabilidades é sete: CVE-2018-10658, CVE-2018-10659, CVE-2018-10660, CVE-2018-10661, CVE-2018-10662, CVE-2018-10663, e CVE-2018-10664. De acordo com os pesquisadores, algumas das vulnerabilidades podem ser encadeadas em um único ataque:
Encadear três das vulnerabilidades relatadas permite que um invasor remoto não autenticado tenha acesso à página de login da câmera através da rede (sem qualquer acesso prévio à câmera ou credenciais para a câmera) para controlar totalmente a câmera afetada.
além disso, um invasor que obteve o controle de raiz sobre as câmeras vulneráveis também pode influenciar a maneira como as câmeras funcionam, acessando e congelando seu fluxo de vídeo. Eles também podem ouvir áudio, controlar o movimento da câmera, e incluir a câmera em um botnet. O software da câmera também pode ser adulterado. A câmera também pode ser implantada como um ponto de entrada para ataques DDoS.
relacionado: Três vulnerabilidades encontradas nas câmeras IP da Foscam (CVE-2018-6830)
Em uma conversa com ZDNet, VDOO CTO Asaf Karas disse que as falhas de acesso root são tão ameaçadoras porque o invasor “poderia praticamente usar qualquer recurso da câmera e além”. “Com os recursos certos, se alguém souber de tais vulnerabilidades por muito tempo antes de serem corrigidas — ele ou ela definitivamente pode violar a privacidade de um indivíduo e a segurança da organização de maneira significativa; e também pode atacar outros alvos usando muitas das câmeras afetadas,” ele adicionou.
Felizmente, os pesquisadores relataram que as várias vulnerabilidades não foram exploradas na natureza, pelo menos com o melhor de seu conhecimento. Em outras palavras, as falhas não levaram a nenhuma violação de privacidade concreta ou outra ameaça à segurança.
O vendedor, Eixo, foi informado e o firmware atualizado foi lançado para os produtos afetados. Isso foi feito dois meses antes de a pesquisa se tornar pública. Isso é o que o Axis disse:
A Axis já foi notificada sobre as vulnerabilidades e lançou firmware atualizado para todos os produtos afetados dois meses antes da publicação da pesquisa. A Axis recomenda fortemente que os usuários finais atualizem o firmware dos produtos Axis afetados de maneira controlada. Para implantar de forma econômica o firmware atualizado, A Axis recomenda o uso da ferramenta Axis Device Manager, que monitorará e notificará continuamente sobre o firmware disponível.