26.12.2018
Критическую уязвимость в IP-камерах Bosch обнаружили специалисты стартапа по информационной безопасности VDOO. Компания Bosch уже приняла меры к её устранению. Она подготовила заплатки к прошивкам камер и разослала их клиентам и интеграторам.
Опасность найденной уязвимости оценивается как очень высокая — 9,4 по 10-бальной шкале. Механизм её действия основан на переполнении буфера в веб-сервере камеры. Злоумышленник, подключившись по протоколу HTTP или HTTPS, сможет вызвать переполнение буфера и затем обойти ограничение доступа, задаваемое логином и паролем, или активировать отключение функций камеры. В исходное состояние камеру можно вернуть нажатием заводской кнопки Reset.
Уязвимость затрагивает прошивку камер, начиная с версии 6.32, и не присутствует в более ранних версиях. Таким образом, она возникла в ноябре 2016 года и телекамерам с более старыми прошивками не угрожает. О существовании каких-либо устройств, взломанных с помощью этой уязвимости, сведений не поступало.
Для исправления ситуации выпущена прошивка IP-камер Bosch версии 6.60. Компания разослала также рекомендации по мерам безопасности для её камер. Тем, кто по какой-то причине не может сейчас установить обновление, предлагается принять другие меры по защите камер. Их следует защитить межсетевыми экранами, в частности, путем настройки списка диапазонов разрешённых для подключения к ним IP-адресов.
Ранее в системах видеонаблюдения Bosch уязвимостей не обнаруживалось. Эксперты отмечают, что эта продукция широко применяется в государственных ведомствах в США и Европе. Следовательно, её информационная защищённость имеет для этих стран большое значение.
В августе 2018 года специалисты компании VDOO обнаружили уязвимость в IP-телекамерах Hikvision, которую этот производитель также достаточно оперативно устранил. Случай с IP-камерами Bosch тем более не выглядит опасным, особенно в свете того, что общественное мнение связывает основную часть своих опасений относительно защищённости систем видеонаблюдения с продукцией из Китая.
Компания:
Bosch / Hikvision