8 лет назад

Программное обеспечение систем видеонаблюдения оказалось уязвимым

Программное обеспечение систем видеонаблюдения оказалось уязвимым Фото 0

Специалистами Positive Technologies обнаружено множество критических уязвимостей в программном обеспечении цифровых устройств видеонаблюдения (DVR). Проблема в том, что злоумышленник, воспользовавшись этими уязвимостями, способен полностью контролировать систему видеонаблюдения. 
 
Иными словами, он может удаленно просматривать, подменять или удалять записанное видео, а также применять систему для того, чтобы проникнуть во внутреннюю сеть компании, рассылать спам, как и эксплуатировать эти устройства в прочих противозаконных целях.
 
Найденных ошибок немало: стандартный пароль суперпользователя, который невозможно сменить в виду специфики его хранения, открытые сервисные порты и множественные уязвимости в программном обеспечении DVR-устройства, которые и открывают злоумышленнику доступ к системе. 
 
Эксперты Positive Technologies Андрей Безбородов, Кирилл Ермаков, Александр Распопов и Дмитрий Скляров смогли обнаружить мастер-пароль, подходящий к учетной записи любого пользователя системы и открывающий доступ к устройству видеонаблюдения с максимальными привилегиями. Данный пароль одинаков для любого DVR-устройства, которое управляется этим программным обеспечением. И пользователь не может его изменить.
 
Устранить найденные уязвимости не так-то просто. Ведь программное обеспечение для управления системами видеонаблюдения проприетарное. И это означает, что в нем, кроме всего иного, нет функции автоматического обновления.
 
Устройства, которые применяют уязвимый софт, реализуются в торговых точках под десятками брендов по всей планете. При этом производители нередко полностью копируют уязвимое ПО и, не делая никаких изменений, используют его потом в собственных разработках. 
 
Вероятно, они не имеют доступа к исходному коду начальной системы, который содержит уязвимости. А это лишает их возможности устранить ошибки безопасности. 
 
Эксперты Positive Technologies считают, что на долю этих систем приходится свыше 90% сегмента рынка устройств такого класса. Аналогичные устройства нашли применение в системах безопасности в основном малого и среднего бизнеса. Впрочем, есть также и частные лица. Это те, кто, скажем, считают необходимым присматривать за своей квартирой через глобальную сеть.
 
Много уязвимых систем можно найти в Интернете при помощи обычных поисковых систем. На сегодня поисковики проиндексировали примерно 500 тысяч подобных устройств, к которым злоумышленники могут подобраться без труда.