|
|
|
|
|
Компьютерная группа реагирования на чрезвычайные ситуации США (US-CERT) предупредила компании по всему миру о трех неисправленных уязвимостях в прошивке видеорегистраторов AVer Information EH6108H+, позволяющих злоумышленникам получить контроль над устройством.
Согласно описанию на официальном сайте продукта, AVer Information EH6108H+ представляет собой гибридный видеорегистратор с функциями управления IP-камерами, предназначенный для трансляции и записи видео. Устройство используется с IP- и CCTV-камерами и позволяет транслировать видео через интернет или сохранять локально. Как сообщают эксперты US-CERT, проблема может возникнуть, когда видеорегистратор подключен к Сети, поскольку в таком случае злоумышленник может несколькими способами получить доступ к его панели управления.
Уязвимость CVE-2016-6535 представляет собой сразу два бэкдора – учетные записи с привилегиями суперпользователя и неизменяемыми учетными данными. Пароли вшиты в прошивку, и удалить или деактивировать их нельзя. Злоумышленник, которому известен IP-адрес видеорегистратора, может подключиться к нему через Telnet.
Уязвимость CVE-2016-6536 позволяет обойти механизм аутентификации. Атакующий может получить доступ к панели конфигурации на странице [device_IP]/setup и подобрать значение параметра "handle", что даст ему возможность получить доступ к панели администрирования без ввода соответствующих учетных данных. Уязвимость CVE-2016-6537 существует из-за ошибок при обработке учетных данных пользователей в ходе различных операций и позволяет раскрыть информацию.
