آسیب پذیری روز صفر در دوربین های امنیتی هایک ویژن
مهاجمان می توانند با بهره برداری از آسیب پذیرهای امنیتی، دسترسی بیشتری از مالک دوربین داشته باشند. این محقق امنیتی جزئیاتی از این باگی که در برخی از محصولات هایک ویژن که بزرگترین تولید کننده چینی دوربین های امنیتی جهان می باشد، منتشر کرده است.
پژوهشگران امنیتی گفته اند در این آسیب پذیری با شماره CVE-2021-36260 مهاجم مخرب قادر می باشد دوربین متصل به اینترنت و شبکه های داخلی ضعیف را به طور کامل در اختیار بگیرد. در این آسیب پذیری با درجه بحرانی 9.8 مهاجم می تواند دسترسی بسیار بیشتری از صاحب دستگاه داشته باشد به دلیل اینکه صاحب دستگاه هنگام اجرای دستورات، محدود به یک پوسته محافظت شده می باشد و دستورات از پیش تعیین شده را اجرا می کند در صورتی که مهاجم این محدودیت ها را ندارد. همچنین مهاجم علاوه بر به خطر انداختن کامل دوربین می تواند به شبکه های داخلی دسترسی پیدا کند و مورد حمله قرار دهد.
آسیب پذیری کلیک صفر با اجرای کد از راه دور (RCE) و بدون احراز هویت، بالاترین سطح بحرانی می باشد که بر تعداد زیادی از دوربین های هایک ویژن اجرا می شود. محققان امنیتی افزودند: با توجه به اینکه این دوربین ها در محل ها و سایت های حساس نصب می شوند، حتی تهدیدی بر زیرساخت های حیاتی می باشد.
باگ طولانی مدت
محققین مدعی هستند این آسیب پذیری از سال 2016 در نرم افزارهای دوربین وجود داشته است. شرکت هایک ویژن مشکلات امنیتی دوربین ها را تایید می کند و برای آنها وصله امنیتی منتشر کرده است همچنین یک راهنمای امنیتی در خصوص جزئیات محصولاتی که در خطر هستند ارائه داده است. در خلاصه ای از این راهنمای امنیتی اینگونه آمده است: به دلیل مشکلات در تایید اعتبار ورود به دستگاه، مهاجم می تواند با استفاده از این آسیب پذیری پیام هایی با دستورات مخرب برای حمله ارسال کند. همچنین این راهنما شامل یک لیست گسترده از نسخه های آسیب پذیر است.
منبع: cyberpolice.ir
نظر شما :