Злоумышленники могут получить полный доступ к устройствам.

 

Более 80 тысяч цифровых видеорегистраторов, используемых для записи данных с камер наблюдения, поставляются с неизменяемыми или даже отсутствующими паролями. Как сообщается в отчете компании Risk-Based Security, большинство устройств видеозаписи содержат как минимум одну уязвимость, позволяющую злоумышленникам получить доступ к конфиденциальной информации.

 

 

 

 

В качестве примера эксперты Risk-Based Security привели цифровые видеорегистраторы Zhuhai RaySharp. Устройства используют неизменяемые логин «root» и пароль «519070». Проблема безопасности была обнаружена еще в 2015 году, но разработчик до сих пор не выпустил исправленную версию прошивки. Используя поисковик устройств Shodan, исследователи Risk-Based Security обнаружили примерно 46 тысяч уязвимых видеорегистраторов.

 

Для аутентификации пользователя используется функция main() в специальном CGI-сценарии. Введенные данные сверяются с логином/паролем «root/519070». Если информация совпадает, пользователю предоставляется полный доступ к web-интерфейсу.

Уязвимость была обнаружена в сентябре 2015 года. В декабре 2015 года производитель пообещал выпустить исправление, но до сих пор никаких шагов предпринято не было.

 

Аналогичная проблема была обнаружена в регистраторах Mvpower 8. Устройство не требовало какого-либо пароля для доступа к web-интерфейсу. Уязвимость обнаружили исследователи PenTestPartners. С помощью Shodan было обнаружено примерно 40 тысяч устройств с проблемой безопасности.

тел.: 375 (17) 3-616-444   |   факс: 375 (17) 3-616- 555