Не проходит и недели, чтобы ИБ-эксперты не обнаружили новую партию уязвимых IoT-девайсов. Именно «благодаря» интернету вещей и его проблемам с безопасностью стало возможно появление таких угроз, как Mirai, и мощных атак, за которые ответственна подобная малварь.
На этой неделе исследователи выявили сразу ряд проблем: уязвимости нашли в DVR и камерах наблюдения китайской компании Dahua, а также в камерах 354 других производителей, которые комплектуют свои гаджеты «дырявым» веб-сервером.
Dahua
Проблему в IP-камерах и DVR-устройствах китайского производителя Dahua заметил исследователь, известный под именем Bashis. Он обнаружил, что устройства хранят настройки веб-сервера в доступном для всех желающих месте. То есть получить доступ к файлу конфигурации, в котором содержатся данные обо всех аккаунтах, мог любой, кому известен IP-адрес устройства. Замечу, что узнать адрес и найти подобные девайсы, можно без особо труда, используя хотя бы тот же Shoudan,
Bashis опубликовал отчет о проблеме, а также обнародовал на GitHub proof-of-concept эксплоит, позволяющий автоматизировать атаки на устройства Dahua. Представители компании поспешили связаться с исследователем и попросили его убрать эксплоит из свободного доступа, дав пользователям возможность спокойно обновить свои устройства. Одновременно с этим производитель выпустил новую версию прошивки, которая устранила обнаруженную исследователем проблему. Bashis пошел навстречу компании, так что PoC-эксплоит был изъят с GitHub и будет повторно опубликован 5 апреля 2017 года.
GoAhead
Более глобальную проблему обнаружил исследователь Пирри Ким (Pierre Kim). Ким пишет, что свыше 1200 моделей IP-камер 354 разных производителей содержат опасную уязвимость во встроенном веб-сервере. Исследователь рассказал, что проблема кроется в самом административном интерфейсе устройств Wireless IP Camera (P2P) WIFICAM, так как OEM-производители используют кастомную и уязвимую версию веб-сервера GoAhead, плюс прошивки открывают возможность небезопасного подключения к бэкэнду. Причем на базе девайса Wireless IP Camera (P2P) WIFICAM построены более 1200 моделей камер.
По данным исследователя, через Shodan можно обнаружить более 185 000 уязвимых Wi-Fi камер, которые только и ждут, когда кто-нибудь сделает их частью очередного ботнета. В списке проблемных устройств, который исследователь приводит на страницах своего блога, числятся камеры таких известных производителей, как 3Com, D-Link, Akai, Axis, Kogan, Logitech, Mediatech, Panasonic, Polaroid и Secam.
Изначально Ким полагал, что уязвимость кроется в веб-сервере GoAhead компании Embedthis Software. Однако разработчики Embedthis Software опровергли данную теорию, и исследователь признал, что сам по себе GoAhead неопасен, опасны его модификации, созданные китайскими производителями.
Хотя написание полноценного proof-of-concept эксплоита Ким оставил другим, подробной информации о проблеме, опубликованной в его блоге, для этого вполне хватит. В силу того, что уязвимых устройств и производителей очень много, исследователь не стал пытаться связываться с каждым из них по отдельности, вместо этого он публично раскрыл все детали проблемы, надеясь привлечь внимание вендоров. Пользователям уязвимых камер Ким рекомендует немедленно отключить устройства от интернета.
Разработчики Microsoft выпустили внеплановое обновление для браузера Edge на основе Chromium. Сборка 138.0.3351.65 содержит патчи для двух опасных уязвимостей; одну из них злоумышленники уже используют в атаках.
Обе проблемы классифицируются как «путаница типов данных» и при эксплуатации позволяют удаленно выполнить любой код в целевой системе.
Уязвимость CVE-2025-6554 обнаружил в JavaScript-движке V8 эксперт Google. Эксплойт осуществляется с помощью специально созданного сайта; в случае успеха автор атаки получает доступ на чтение/запись к произвольным ячейкам памяти.
В связке с другими уязвимостями это может привести к выходу за пределы песочницы, краже данных или выполнению вредоносного кода. Уровень угрозы в Google оценили в 8,1 балла по CVSS (как высокий); патч для Chrome вышел несколько дней назад.
Уязвимость CVE-2025-49713 (8,8 балла CVSS) актуальна лишь для Microsoft Edge. Злоумышленник сможет удаленно выполнить свой код, если ему удастся заставить пользователя открыть вредоносное вложение либо совершить переход по ссылке, присланной по имейл или в мессенджере.
Успешный эксплойт позволяет внедрить в систему зловреда, украсть учетные данные, а также развить атаку в корпоративной сети.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
