News NAG News NAG
Разделы
Статьи Блог НАГ Золотой фонд Nag.Ru Вебинары Веселые картинки Новости
Личный кабинет
Войти через Форум
Регистрация
Забыли пароль?
  1. Новости
Главная
Пользователь
Заметки пользователей
1325
0
НОВОСТИ
14.06.2017 08:10
PDF
1325
0

В IP-камерах Foscam нашли почти два десятка опасных уязвимостей

Автор: Дмитрий Григорьев

Специалисты компании F-Secure в ходе исследования работы IP-видеокамер китайского производителя Foscam обнаружили 18 опасных уязвимостей. Баги были обнаружены в моделях устройств Opticam i5 и Foscam C2, пишет издание Xakep.

В IP-камерах Foscam нашли почти два десятка опасных уязвимостей

Foscam С2

Благодаря внушительному списку уязвимостей, видеокамеры могут быть подвергнуты самым разнообразным воздействиям злоумышленников и представляют собой угрозу для безопасности пользователей мировой паутины. Например, воспользовавшись багами, злоумышленник сможет смотреть потоковое видео с камеры, скачивать его и загружать на встроенный FTP-сервер. Уязвимости позволяют прервать видеопоток и использовать возможности камеры для DDoS-атак.

Вот список найденных уязвимостей:

  • Неслучайные учётные данные для пользовательского аккаунта веб-интерфейса (admin, без пароля).
  • Аккаунт FTP-сервера доступен без пароля.
  • Аккаунт FTP-сервера имеет жестко закодированный пароль.
  • Настройки бэкапов защищены жёстко закодированным паролем.
  • Обнаружены скрытые, жёстко закодированные учётные данные для веб-интерфейса.
  • Найдена скрытая функциональность Telnet.
  • Уязвимость перед удалёнными инъекциями команд в User Add.
  • Уязвимость перед удалёнными инъекциями команд в /mnt/mtd/boot.sh via ProductConfig.xml.
  • Через ONVIF SetDNS, без авторизации доступна уязвимость перед удаленными инъекциями команд.
  • Некорректное назначение прав при старте /mnt/mtd/boot.sh.
  • Некорректное назначение прав для директории /mnt/mtd/app.
  • Возможность без аутентификации узнать учётные данные администратора через ONVIF GetStreamUri.
  • Возможна перезагрузка через ONVIF SystemReboot без аутентификации.
  • Встроенный брандмауэр раскрывает данные о легитимности учётных данных.
  • Нет ограничений, направленных против множественных попыток входа.
  • DoS-уязвимость, позволяющая прервать работу RTSP.
  • Без авторизации доступна XSS-уязвимость в ONVIF SetHostname.
  • Переполнение буфера в ONVIF SetDNS.


На базе Foscam строятся многие другие white-label камеры. Следовательно, большинство найденных уязвимостей, скорее всего, присутствуют также в устройствах Chacon, Thomson, 7links, Netis, Turbox, Novodio, Ambientcam, Nexxt, Technaxx, Qcam, Ivue, Ebode и Sab.

 
0 комментариев
Оставлять комментарии могут только авторизованные пользователи
Главная
Разделы
Поиск
 Профиль
Профиль