Zawsze aktualizuj firmware w kamerach ! Oprogramowanie podatne na Cross-Site Request Forgery (CSRF)

Zawsze aktualizuj firmware w kamerach ! Oprogramowanie podatne na Cross-Site Request Forgery (CSRF), 5.0 out of 5 based on 1 rating
VN:F [1.9.22_1171]
VN:F [1.9.22_1171]
Rating: 5.0/5 (1 vote cast)

Case Study: Jakiś czas te mu trafiła do nas na pogwarancyjny serwis kamera. Markowa kamera renomowanego producenta. Jedna z kilkudziesięciu podobnych kamer z dużego magazynu centrum logistycznego firmy branży IT. Trafiła do nas bo zachowywała się „dziwnie”… Szybka analiza i okazało się, że tym razem to raczej nie hardware, tylko oprogramowanie. Oprogramowanie podatne na Cross-Site Request Forgery (CSRF). Podatność która umożliwia zdalne wykonywanie kodu (w tym złośliwego), co z kolei umożliwia zdalną manipulację parametrami i ustawieniami kamery, czy uzyskanie dostępu do haseł (w tym konta root), a więc umożliwiająca przejęcie pełnej kontroli nad urządzeniem. Żeby było zabawniej, nie jest to nowy typ ataku na te urządzenia, podatność została opublikowana 2017-04-09 ! Nie mniej jakimś cudem tak poważna luka uchowała się przed działem IT tak dużej firmy na dodatek z branży IT… Jak to mówią „Najciemniej jest pod latarnią”. Żeby było zabawniej takich urządzeń dostępnych w sieci (online) udało nam się na szybko znaleźć ~205… (tylko z jednej serii tych kamer), a podatnych jest zdecydowanie więcej urządzeń. Wniosek: #ZawszeAktualizujFirmware #UfajCzujnościInstalatora, a w przypadku wątpliwości zlecaj serwis systemów monitoringu zewnętrznym firmom, które z naszych obserwacji wykazują zdecydowanie wyższą czujność na „anomalia” niż wewnętrzne korporacyjne działy IT.

VN:F [1.9.22_1171]
Rating: 5.0/5 (1 vote cast)
VN:F [1.9.22_1171]

O redaktor

Od 2008 współtwórca WeberSystems, firmy której początki sięgają sierpnia roku 2007 kiedy to powstały plany jej utworzenia, oraz powstawała nasza pierwsza testowa wersja witryny internetowej. W tym roku powstała również nasza nazwa handlowa "WeberSystems". Firma P.W.PARTNER M.WEBER powstała rok później w 2008 roku. Więcej informacji na moim

Ten wpis został opublikowany w kategorii Systemy telewizji dozorowej i oznaczony tagami , , , . Dodaj zakładkę do bezpośredniego odnośnika.

Możliwość komentowania jest wyłączona.