В IP-камерах Geutebrück исправлены серьезные уязвимости
Компания Geterbrück выпустила для своих IP-камер обновления прошивки, исправляющие широкий спектр опасных уязвимостей, в том числе 1 критическую.
Как полагают обнаружившие уязвимости исследователи из компании RandoriSec, та же уязвимая прошивка может использоваться не только в камерах Geterbrück, но и в IP-камерах других производителей, таких как Ganz, Cap, Visualint, THRIVE Intelligence и UDP Technology. В то же время специалистам удалось подтвердить наличие уязвимостей только в IP-камерах моделей Geutebrück G-Cam/EFD-2250 и Topline TopFD-2125.
Поддержка обоих продуктов уже прекращена, однако Geutebrück выпустила версию прошивки 1.12.0.19 для более новой серии камер G-Cam, исправляющую уязвимости. Обновления доступны на web-сайте производителя.
Команда экстренного реагирования на инциденты в промышленных системах управления (ICS-CERT) опубликовала отдельное предупреждение о данных уязвимостях из-за степени их опасности. Все уязвимости получили оценки от 8,3 до 9,8 по шкале CVSS.
Согласно предупреждению ICS-CERT, проблемы могут быть удаленно проэксплуатированы злоумышленником, не обладающим какими-либо специальными навыками.
Уязвимости включают в себя широкий спектр проблем, которые редко встречаются на одном устройстве одновременно, такие как внедрение SQL-кода, межсайтовая подделка запросов (CSRF), подделка запросов на стороне сервера (SSRF), межсайтовый скриптинг (XSS), некорректная аутентификация и некорректные настройки доступа.
«Успешная эксплуатация уязвимостей позволяет просканировать прокси-сеть, получить доступ к базе данных, добавить в систему несанкционированного пользователя, загрузить полную конфигурацию устройства, включая пароли, а также удаленно выполнить код», - следует из предупреждения ICS-CERT.
В настоящее время не обнаружены эксплоиты, эксплуатирующие данные проблемы.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш