Osi popravijo 7 kritičnih ranljivosti v 386 napravah

IP kamera osi. IPCam

Po navedbah a varnostno svetovanje objavil Axis Communications pod ID ACV-128401, je bilo v omrežju Axis Camera Network zaznanih 7 ranljivosti, ki omogočajo oddaljeno izvajanje ukazov. Ranljivosti so bile dodeljene oznakam CVE; so: CVE-2018-10658 , CVE-2018-10659 , CVE-2018-10660 , CVE-2018-10661 , CVE-2018-10662 , CVE-2018-10663 , in CVE-2018-10664 . CVE-2018-10658 se v več modelih kamer Axis IP prikaže težavi s poškodbo pomnilnika, ki povzroči zavrnitev storitve, ki izvira iz kode v predmetu v skupni rabi libdbus-send.so. CVE-2018-10659 odpravlja drugo težavo s poškodbo pomnilnika, ki povzroča zrušitev DoS, tako da pošlje izdelan ukaz, ki prikliče UND nedefinirano navodilo ARM. CVE-2018-10660 opisuje ranljivost vbrizga ukaza lupine. CVE-2018-10661 je opisal obvod ranljivosti nadzora dostopa. CVE-2018-10662 opisuje izpostavljeno negotovost vmesnika. CVE-2018-10663 opisuje napačno težavo z izračunom velikosti v sistemu. Nazadnje CVE-2018-10664 opisuje generično težavo s poškodbami pomnilnika v postopku httpd več modelov IP kamer Axis.

Ranljivosti ni analiziral CVE MITER še in še čakajo CVSS 3.0 ocene, vendar Axis poroča, da je tveganje, če ga izkoristimo v kombinaciji, kritično. Glede na oceno tveganja v objavljenem poročilu mora napadalec pridobiti omrežni dostop do naprave za izkoriščanje ranljivosti, vendar za pridobitev tega dostopa ne potrebuje nobenih poverilnic. Glede na oceno so pripomočki ogroženi sorazmerno z njihovo izpostavljenostjo. Internetne naprave, ki so izpostavljene prek usmerjevalnika, so zelo izpostavljene tveganju, kje so naprave v zaščitenem lokalnem omrežju razmeroma manjše.

Axis je ponudil popoln seznam prizadeti izdelki in izdal tudi a posodobitev popravka za vdelano programsko opremo, na katero uporabnike pozivajo, naj nadgradijo, da bi preprečili izkoriščanje teh ranljivosti. Poleg tega se uporabnikom priporoča, da svojih naprav ne izpostavljajo neposredno nastavitvam za posredovanje internetnih vrat, in svetujejo, da uporabljajo AXIS Companion aplikacija za Windows, Android in iOS, ki omogoča varen dostop do posnetkov na daljavo. Predlaga se tudi notranja tabela IP, ki uporablja aplikacijo za filtriranje IP, da preventivno ublaži tveganje za prihodnje tovrstne ranljivosti.