Эксперты Positive Technologies обнаружили критические уязвимости в ПО систем видеонаблюдения

Специалисты

Positive Technologies обнаружили целый ряд критических уязвимостей в

программном обеспечении цифровых устройств видеонаблюдения (DVR).

Воспользовавшись этими проблемами безопасности, злоумышленник может

удаленно получать полный контроль над системой видеонаблюдения:

просматривать, подменять или удалять записанное видео, использовать

систему для проникновения во внутреннюю сеть компании, рассылать спам, а

также эксплуатировать эти устройства в других противозаконных целях,

сообщили CNews в компании.

Так, среди найденных ошибок — стандартный пароль суперпользователя,

который нельзя сменить из-за особенности его хранения, открытые

сервисные порты и множественные уязвимости в программном обеспечении

DVR-устройства, открывающие злоумышленнику доступ к системе. Кроме

того, исследователям Positive Technologies Андрею Безбородову, Кириллу Ермакову, Александру Распопову и Дмитрию Склярову

удалось обнаружить так называемый мастер-пароль, который подходит к

учетной записи любого пользователя системы и открывает доступ к

устройству видеонаблюдения с максимальными привилегиями. Этот пароль

одинаков для всех DVR-устройств под управлением данного программного

обеспечения и не может быть изменен пользователем, рассказали в Positive

Technologies.

Устранение найденных уязвимостей осложняется тем фактом, что

программное обеспечение для управления системами видеонаблюдения

является проприетарным, и в нем, помимо прочего, отсутствует функция

автоматического обновления, указали в компании.

Между тем, устройства, использующие уязвимый софт, продаются под

десятками брендов по всему миру. При этом производители зачастую

полностью копируют уязвимое ПО и без изменения используют его в

собственных разработках. При этом доступа к исходному коду начальной

системы, содержащей уязвимости, у них, вероятно, нет, что лишает их

возможности устранить ошибки безопасности. По оценкам экспертов Positive

Technologies, доля этих систем составляет более 90% сегмента рынка

устройств такого класса. Подобные устройства используются в системах

безопасности преимущественно малым и средним бизнесом, а также частными

лицами (например, для того чтобы присматривать за своей квартирой через

интернет).

Большое количество уязвимых систем можно обнаружить в интернете с

помощью обычных поисковых систем. На данный момент поисковики

проиндексировали около 500 тыс. подобных устройств, получить полный

доступ к которым не составит для злоумышленника никакого труда.

Оставляйте лайки.