vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

В IP-камерах Foscam нашли почти два десятка опасных уязвимостей

Дата публикации: 14.06.2017
Количество просмотров: 639
Автор:

Специалисты компании F-Secure в ходе исследования работы IP-видеокамер китайского производителя Foscam обнаружили 18 опасных уязвимостей. Баги были обнаружены в моделях устройств Opticam i5 и Foscam C2, пишет издание Xakep.

Foscam С2

Благодаря внушительному списку уязвимостей, видеокамеры могут быть подвергнуты самым разнообразным воздействиям злоумышленников и представляют собой угрозу для безопасности пользователей мировой паутины. Например, воспользовавшись багами, злоумышленник сможет смотреть потоковое видео с камеры, скачивать его и загружать на встроенный FTP-сервер. Уязвимости позволяют прервать видеопоток и использовать возможности камеры для DDoS-атак.

Вот список найденных уязвимостей:

  • Неслучайные учётные данные для пользовательского аккаунта веб-интерфейса (admin, без пароля).
  • Аккаунт FTP-сервера доступен без пароля.
  • Аккаунт FTP-сервера имеет жестко закодированный пароль.
  • Настройки бэкапов защищены жёстко закодированным паролем.
  • Обнаружены скрытые, жёстко закодированные учётные данные для веб-интерфейса.
  • Найдена скрытая функциональность Telnet.
  • Уязвимость перед удалёнными инъекциями команд в User Add.
  • Уязвимость перед удалёнными инъекциями команд в /mnt/mtd/boot.sh via ProductConfig.xml.
  • Через ONVIF SetDNS, без авторизации доступна уязвимость перед удаленными инъекциями команд.
  • Некорректное назначение прав при старте /mnt/mtd/boot.sh.
  • Некорректное назначение прав для директории /mnt/mtd/app.
  • Возможность без аутентификации узнать учётные данные администратора через ONVIF GetStreamUri.
  • Возможна перезагрузка через ONVIF SystemReboot без аутентификации.
  • Встроенный брандмауэр раскрывает данные о легитимности учётных данных.
  • Нет ограничений, направленных против множественных попыток входа.
  • DoS-уязвимость, позволяющая прервать работу RTSP.
  • Без авторизации доступна XSS-уязвимость в ONVIF SetHostname.
  • Переполнение буфера в ONVIF SetDNS.


На базе Foscam строятся многие другие white-label камеры. Следовательно, большинство найденных уязвимостей, скорее всего, присутствуют также в устройствах Chacon, Thomson, 7links, Netis, Turbox, Novodio, Ambientcam, Nexxt, Technaxx, Qcam, Ivue, Ebode и Sab.

 
От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/31853/v-ip-kamerah-foscam-nashli-pochti-dva-desyatka-opasnyih-uyazvimostey.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться