Akár CCTV kamerák millióit hackelhetik meg viszonylag egyszerűen
- Biztonságtechnika
- /
- 2017-07-27
A Senrio - egy IoT (Internet of Things) biztonságra szakosodott tanácsadó cég - komoly biztonsági rést tárt fel nemrégiben az IP CCTV kamerákban.
A számos gyártó által felhasznált nyílt forráskódú kódkönyvtár gSOAP (memória túlcsordulással szembeni) sebezhetőségét kihasználva, a Senrio szakemberei könnyedén vették át az irányítást egy Axis kamera felett. Röviden, egy távolságban lévő kamerában idéztek elő memória túlcsordulást, melynek segítségével a kamerát alapértelmezett állapotába helyezték vissza és kizárták a tulajt a saját kamerájából. Aki kíváncsi a részletekre, látogasson el a cég weboldalára. A biztonsági rést jelezték a gyártó felé és az Axis rövid időn belül kibocsátott egy, a problémát orvosló firmwaret.
Eddig minden szép és jó lenne, de az ONVIF kifejezetten függ a SOAP-tól, az ONVIF fórum tagságának 6%-a (kb. 34 gyártó) kifejezetten a gSOAP-ot használja. Az Axis megtette a szükséges ellenlépéseket. Vajon a többi gyártó is így tett?
A Senrio is hangsúlyozza a legfontosabbakat, pl. hogy egy vagyonvédelmi eszköznek (ha csak nem ez a kifejezett cél) semmi keresnivalója az Interneten.
Tűzfallal, egyéb védelmi eszközzel, de legalább NAT-olással védjük IP alapú biztonságtechnikai (és persze egyéb) eszközeinket. Ha a gyártó biztonsági frissítést bocsát ki, ne legyünk lusták azt lefuttatni.
Forrás: IDE kattintva érhető el
A számos gyártó által felhasznált nyílt forráskódú kódkönyvtár gSOAP (memória túlcsordulással szembeni) sebezhetőségét kihasználva, a Senrio szakemberei könnyedén vették át az irányítást egy Axis kamera felett. Röviden, egy távolságban lévő kamerában idéztek elő memória túlcsordulást, melynek segítségével a kamerát alapértelmezett állapotába helyezték vissza és kizárták a tulajt a saját kamerájából. Aki kíváncsi a részletekre, látogasson el a cég weboldalára. A biztonsági rést jelezték a gyártó felé és az Axis rövid időn belül kibocsátott egy, a problémát orvosló firmwaret.
Eddig minden szép és jó lenne, de az ONVIF kifejezetten függ a SOAP-tól, az ONVIF fórum tagságának 6%-a (kb. 34 gyártó) kifejezetten a gSOAP-ot használja. Az Axis megtette a szükséges ellenlépéseket. Vajon a többi gyártó is így tett?
A Senrio is hangsúlyozza a legfontosabbakat, pl. hogy egy vagyonvédelmi eszköznek (ha csak nem ez a kifejezett cél) semmi keresnivalója az Interneten.
Tűzfallal, egyéb védelmi eszközzel, de legalább NAT-olással védjük IP alapú biztonságtechnikai (és persze egyéb) eszközeinket. Ha a gyártó biztonsági frissítést bocsát ki, ne legyünk lusták azt lefuttatni.
Forrás: IDE kattintva érhető el