8 лет назад
Программное обеспечение систем видеонаблюдения оказалось уязвимым
Специалистами Positive Technologies обнаружено множество критических уязвимостей в программном обеспечении цифровых устройств видеонаблюдения (DVR). Проблема в том, что злоумышленник, воспользовавшись этими уязвимостями, способен полностью контролировать систему видеонаблюдения.
Иными словами, он может удаленно просматривать, подменять или удалять записанное видео, а также применять систему для того, чтобы проникнуть во внутреннюю сеть компании, рассылать спам, как и эксплуатировать эти устройства в прочих противозаконных целях.
Найденных ошибок немало: стандартный пароль суперпользователя, который невозможно сменить в виду специфики его хранения, открытые сервисные порты и множественные уязвимости в программном обеспечении DVR-устройства, которые и открывают злоумышленнику доступ к системе.
Эксперты Positive Technologies Андрей Безбородов, Кирилл Ермаков, Александр Распопов и Дмитрий Скляров смогли обнаружить мастер-пароль, подходящий к учетной записи любого пользователя системы и открывающий доступ к устройству видеонаблюдения с максимальными привилегиями. Данный пароль одинаков для любого DVR-устройства, которое управляется этим программным обеспечением. И пользователь не может его изменить.
Устранить найденные уязвимости не так-то просто. Ведь программное обеспечение для управления системами видеонаблюдения проприетарное. И это означает, что в нем, кроме всего иного, нет функции автоматического обновления.
Устройства, которые применяют уязвимый софт, реализуются в торговых точках под десятками брендов по всей планете. При этом производители нередко полностью копируют уязвимое ПО и, не делая никаких изменений, используют его потом в собственных разработках.
Вероятно, они не имеют доступа к исходному коду начальной системы, который содержит уязвимости. А это лишает их возможности устранить ошибки безопасности.
Эксперты Positive Technologies считают, что на долю этих систем приходится свыше 90% сегмента рынка устройств такого класса. Аналогичные устройства нашли применение в системах безопасности в основном малого и среднего бизнеса. Впрочем, есть также и частные лица. Это те, кто, скажем, считают необходимым присматривать за своей квартирой через глобальную сеть.
Много уязвимых систем можно найти в Интернете при помощи обычных поисковых систем. На сегодня поисковики проиндексировали примерно 500 тысяч подобных устройств, к которым злоумышленники могут подобраться без труда.
Статьи
Новости