PT обнаружила опасную уязвимость в популярных IP-камерах
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

PT обнаружила опасную уязвимость в популярных IP-камерах

Александр Панасенко 02 Августа 2017 - 15:53
...
PT обнаружила опасную уязвимость в популярных IP-камерах

Эксперт Positive Technologies Илья Смит выявил и помог устранить критическую уязвимость во встроенном программном обеспечении IP-камер компании Dahua, которые широко используются для видеонаблюдения в банковском секторе, энергетике, телекоммуникациях, транспорте, системах «умный дом» и других областях.

Данной проблеме подвержены сотни тысяч камер по всему миру, выпускаемые Dahua как под своим брендом, так и изготовленные для других заказчиков.

Уязвимость CVE-2017-3223 получила максимальную оценку 10 баллов по шкале CVSS Base Score. Недостаток безопасности связан с возможностью переполнения буфера (Buffer Overflow) в веб-интерфейсе Sonia, предназначенном для дистанционного управления и настройки камер. Неавторизованный пользователь может отправить специально сформированный POST-запрос на уязвимый веб-интерфейс и удаленно получить привилегии администратора, что означает неограниченный контроль над IP-камерой.

«С программной точки зрения эта уязвимость позволяет сделать с камерой все что угодно, — отмечает Илья Смит, старший специалист группы исследований Positive Technologies. — Перехватить и модифицировать видеотрафик, включить устройство в ботнет для осуществления DDoS-атаки наподобие Mirai и многое другое. Компания Dahua занимает второе место в мире в области IP-камер и DVR, при этом обнаруженная нами уязвимость эксплатируется очень легко, что еще раз наглядно демонстрирует уровень безопасности в сфере IoT-устройств».

Уязвимость обнаружена в IP-камерах с программным обеспечением DH_IPC-ACK-Themis_Eng_P_V2.400.0000.14.R и более ранними версиями прошивки. Для устранения ошибки необходимо обновить ПО до версии DH_IPC-Consumer-Zi-Themis_Eng_P_V2.408.0000.11.R.20170621. С дополнительными подробностями можно ознакомиться на сайте CERT университета Карнеги-Меллона.

Согласно исследованиям Positive Technologies, злоумышленники могут потенциально получить доступ более чем к 3,5 миллионам IP-камер по всему миру. Кроме того, порядка 90% всех DVR-систем, используемых сегодня для видеонаблюдения предприятиями малого и среднего бизнеса, содержат те или иные уязвимости и могут быть взломаны.

Это не первый случай сотрудничества двух компаний. В 2013 году специалисты Positive Technologies помогли выявить и устранить многочисленные уязвимости в DVR-системах  производства Dahua.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры не одобрило аутентификацию клиентов МФО через банковские сервисы
Яков Шпунт 28 Ноября 2025 - 09:41
Соответствие законодательству РФ Домашние пользователиГосударство Системы аутентификации
Минцифры не одобрило аутентификацию клиентов МФО через банковские сервисы

Минцифры и МВД не поддержали предложение Банка России об использовании биометрических систем банков для аутентификации клиентов микрофинансовых организаций (МФО). Минцифры настаивает на применении Единой биометрической системы (ЕБС), указывая, что рост числа её пользователей свидетельствует о повышении доверия к этой платформе.

Письма ведомств с отрицательными отзывами на инициативу Центробанка, допускающую использование коммерческих биометрических систем банков для проверки личности клиентов МФО, оказались в распоряжении «Ведомостей».

Источники, знакомые с ходом обсуждения, подтвердили подлинность документов. Кроме того, официальный комментарий пресс-службы Минцифры фактически повторил ключевые позиции, изложенные в письме ведомства.

Минцифры считает нецелесообразным использование сторонних сервисов для аутентификации клиентов микрофинансовых организаций. В документе МВД, подписанном заместителем главы ведомства Андреем Храповым, ЕБС названа «максимально надежным и безопасным» способом подтверждения личности.

С 1 марта 2026 года биометрическая аутентификация станет обязательной при дистанционном оформлении микрозаймов в МФО, а с 1 марта 2027 года — в микрокредитных компаниях. При этом разрешено использовать только ЕБС.

Собственные биометрические системы банков нередко не соответствуют стандартам ЕБС — это касается как качества данных, так и требований к их хранению, обеспечению сохранности и безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Обезврежены 1025 серверов, связанных с Rhadamanthys, VenomRAT, Elysium
Новость
Обезврежены 1025 серверов, связанных с Rhadamanthys, VenomRA...
Арестован бывший гендиректор технопарка Сколково Ренат Батыров
Новость
Арестован бывший гендиректор технопарка Сколково Ренат Батыр...
LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows
Новость
LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.