IP-камеры видеонаблюдения AirLive подвержены уязвимостям

Брешь разрешает преступникам взять удаленный доступ к камере. По крайней мере пять разных моделей IP-камер видеонаблюдения AirLive содержат уязвимости, которые разрешают преступникам взять удаленный доступ к устройствам. ИБ-специалист Core Security Науэль Рива (Nahuel Riva) нашёл бреши в камерах видеонаблюдения, произведенных компанией OvisLink, в моделях MD-3025, BU-3026 и BU-2015. Устройства подвержены уязвимости инъекции системных команд в бинарном файле cgi_test.cgi. Со своей стороны, модели WL-2000CAM и POE-200CAM подвержены уязвимости инъекции системных команд в бинарном файле wireless_mft.cgi.

Уязвимости разрешают преступникам запрашивать эти бинарные файлы без аутентификации, в том случае, если пользователь не указал в конфигурациях камеры применять HTTPS-соединение, которое не активировано по умолчанию. Преступники могут получить доступ к MAC-адресу, заглавию модели, аппаратной версии, другой информации и версии прошивки о камере, например в IP-видеокамерах Expert, скоро поступающих на белорусский рынок таких проблем быть не может.

Рива пару раз пробовал связаться с представителями AirLive по поводу найденной уязвимости. Не обращая внимания на пару писем, компания так и не ответила ИБ-специалисту.