Axis IP Camera. IPCam
Согласно совет по безопасности опубликовано Axis Communications под идентификатором ACV-128401, в сети Axis Camera Network было обнаружено 7 уязвимостей, которые позволяют удаленно выполнять команды. Уязвимости присвоены метки CVE; они есть: CVE-2018-10658 , CVE-2018-10659 , CVE-2018-10660 , CVE-2018-10661 , CVE-2018-10662 , CVE-2018-10663 , и CVE-2018-10664 . CVE-2018-10658 поддается проблеме повреждения памяти в нескольких моделях IP-камер Axis, что вызывает отказ в обслуживании, исходящий из кода в общем объекте libdbus-send.so. CVE-2018-10659 решает другую проблему повреждения памяти, вызывающую сбой DoS, путем отправки созданной команды, которая вызывает команду UND undefined ARM. CVE-2018-10660 описывает уязвимость внедрения команд оболочки. CVE-2018-10661 описывает обход уязвимости управления доступом. CVE-2018-10662 описывает обнаруженную уязвимость небезопасного интерфейса. CVE-2018-10663 описывает проблему с неправильным вычислением размера в системе. Наконец, CVE-2018-10664 описывает общую проблему повреждения памяти в процессе httpd для нескольких моделей IP-камер Axis.
Уязвимости не анализировались CVE MITER еще и все еще ожидают CVSS 3.0 оценки, но Axis сообщает, что при использовании в комбинации возникает критический риск. Согласно оценке риска в опубликованном отчете, злоумышленник должен получить сетевой доступ к устройству, чтобы воспользоваться уязвимостями, но ему / ей не нужны учетные данные для получения этого доступа. Согласно оценке, устройства подвержены риску, пропорциональному степени их воздействия. Устройства с выходом в Интернет, доступные через маршрутизатор с переадресацией портов, подвергаются высокому риску, поскольку устройства в защищенной локальной сети подвергаются относительно меньшему риску использования.
Axis предоставила полный список затронутые продукты а также выпустил обновление патча для прошивки, на которую пользователям настоятельно рекомендуется обновить, чтобы предотвратить использование этих уязвимостей. В дополнение к этому пользователям также рекомендуется не подвергать свои устройства напрямую настройкам переадресации портов в Интернете и рекомендуется использовать AXIS Companion приложение для Windows, Android и iOS, обеспечивающее безопасный удаленный доступ к отснятому материалу. Также предлагается использовать внутреннюю таблицу IP-адресов с использованием приложения фильтрации IP-адресов для предотвращения риска появления подобных уязвимостей в будущем.
