Akár CCTV kamerák millióit hackelhetik meg viszonylag egyszerűen


Akár CCTV kamerák millióit hackelhetik meg viszonylag egyszerűen
A Senrio - egy IoT (Internet of Things) biztonságra szakosodott tanácsadó cég - komoly biztonsági rést tárt fel nemrégiben az IP CCTV kamerákban.

A számos gyártó által felhasznált nyílt forráskódú kódkönyvtár gSOAP (memória túlcsordulással szembeni) sebezhetőségét kihasználva, a Senrio szakemberei könnyedén vették át az irányítást egy Axis kamera felett. Röviden, egy távolságban lévő kamerában idéztek elő memória túlcsordulást, melynek segítségével a kamerát alapértelmezett állapotába helyezték vissza és kizárták a tulajt a saját kamerájából. Aki kíváncsi a részletekre, látogasson el a cég weboldalára. A biztonsági rést jelezték a gyártó felé és az Axis rövid időn belül kibocsátott egy, a problémát orvosló firmwaret.

Eddig minden szép és jó lenne, de az ONVIF kifejezetten függ a SOAP-tól, az ONVIF fórum tagságának 6%-a (kb. 34 gyártó) kifejezetten a gSOAP-ot használja. Az Axis megtette a szükséges ellenlépéseket. Vajon a többi gyártó is így tett?
A Senrio is hangsúlyozza a legfontosabbakat, pl. hogy egy vagyonvédelmi eszköznek (ha csak nem ez a kifejezett cél) semmi keresnivalója az Interneten.

Tűzfallal, egyéb védelmi eszközzel, de legalább NAT-olással védjük IP alapú biztonságtechnikai (és persze egyéb) eszközeinket. Ha a gyártó biztonsági frissítést bocsát ki, ne legyünk lusták azt lefuttatni.

Forrás: IDE kattintva érhető el
Tagek:

Hirdetés
hírdetés
SecuriFocus

A SecuriFocus.com Magyarország első, a biztonságvédelmi szolgáltatások piacára szakosodott online hír- és információs portálja.
www.securifocus.com

SecuriForum

A SecuriForum Biztonságtechnikai és Tűzvédelmi Kiállítás & Konferencia a SecuriFocus Kft. által szervezett rendezvény.
www.securiforum.com

Elérhetőség

SecuriFocus Kft.
1118 Budapest
Nagyszeben u. 24/A
Tel: (30) 942-2789
Email: info@securifocus.com
Axis Q9307-LV
Olvasta már?
Axis Q9307-LV