Опубликованы эксплоиты для уязвимостей в термальных видеокамерах FLIR
Исследователь Джеко Крстиц (Gjoko Krstic), известный как LiquidWorm, обнародовал информацию о ряде уязвимостей в термальных видеокамерах производства компании FLIR Systems, а также предоставил рабочие эксплоиты для их эксплуатации.
Как выяснил эксперт, камеры FLIR PT-Series (PT-334 200562) с версией прошивки 8.0.0.64, подвержены множественным уязвимостям, позволяющим неавторизованному атакующему выполнить команду с правами суперпользователя и обойти защиту устройства. Проблема существует из-за отсутствия в скрипте controllerFlirSystem.php очистки ряда POST параметров при вызове функции execFlirSystem() в ходе обновления сетевых настроек на устройстве.
Следующие уязвимости затрагивают модели камер FLIR серий F/FC/PT/D с версией прошивки 8.0.0.64. Проэксплуатировав проблемы, неавторизованный атакующий может получить доступ к прямой трансляции видео, прочитать произвольные файлы или выполнить команды с привилегиями суперпользователя. Помимо прочего, исследователь обнаружил в встроенном образе Linux вшитые SSH-ключи для авторизации, которые могут быть удалены только производителем.
FLIR Systems - ведущий мировой производитель охранных тепловизоров, инфракрасных камер и систем ночного видения, которые служат для наблюдения в темноте и для получения тепловой карты объектов. Продукция компании находит применение в науке, промышленности, полиции, армии, в охране границы, мореплавании и в коммерческих охранных системах.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
