В сканерах отпечатков пальцев и карт GeoVision обнаружена критическая уязвимость

26 июня 2020 года

В сканерах карт и отпечатков пальцев тайваньского производителя систем видеонаблюдения и IP-камер GeoVision были обнаружены четыре уязвимости, одна из которых является критической. Их эксплуатация позволяет злоумышленникам перехватывать сетевой трафик и осуществлять MitM-атаки.

Как сообщили специалисты из компании Acronis изданию The Hacker News, проблемы затрагивают как минимум 6 семейств устройств, причем более 2,5 тыс. уязвимых устройств были обнаружены в Бразилии, США, Германии, Тайване и Японии.

«Злоумышленники могут обеспечить персистентность в сети, шпионить за внутренними пользователями и похищать данные, не будучи обнаруженными. Они могут повторно использовать украденные данные отпечатков пальцев для авторизации в пользовательские устройства», — пояснили эксперты.

Первая проблема связана с паролем суперпользователя, который позволяет злоумышленнику получить доступ к устройству с помощью дефолтного пароля («admin») и удаленного входа на уязвимое устройство.

Вторая уязвимость связана с использованием встроенных общих криптографических секретных ключей при аутентификации через SSH-протокол, а третья уязвимость позволяет получить доступ к системным журналам на устройстве без аутентификации.

Четвертая уязвимость переполнения буфера в стеке содержится в прошивке и затрагивает устройства считывания отпечатков пальцев GeoVision, позволяя неавторизованным злоумышленникам запускать произвольный код на устройствах. Проблема получила максимальную оценку в 10 баллов по шкале CVSS.

Эксперты первый раз уведомили GeoVision о своих находках в августе прошлого года, затем дважды в сентябре и декабре, в дополнение к обращению к Сингапурской группе быстрого реагирования на киберинциденты (SingCERT). Только в начале июня нынешнего года компания GeoVision выпустила исправления для трех уязвимостей (CVE-2020-3928, CVE-2020-3929 и CVE-2020-3930), оставив уязвимость переполнения буфера без исправления.

Источники править

 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.