В веб-камерах Zivif обнаружен жестко закодированный рутовый пароль

Олег Иванов 09 Января 2018 - 10:44

...

В веб-камерах Zivif обнаружен жестко закодированный рутовый пароль

Веб-камеры Zivif PR115-204-P-RS V2.3.4.2103 содержат жестко закодированный пароль cat1029, использующийся для пользователя root. Настройка операционной системы SONIX делает этот пароль неизменяемым, соответственно, его можно использовать для доступа к устройству через сеанс TELNET.

Как утверждают специалисты, камерам Zivif недостает контроля доступа, в результате функции CGI можно вызывать напрямую, обходя проверки подлинности.

Проблема получила идентификатор CVE-2017-17106, заключается она в том, что камера на запрос http://<Адрес Камеры>/web/cgi-bin/hi3510/param.cgi?cmd=getuser отвечает следующим образом:

var name0="admin"; var password0="admin"; var authLevel0="255"; var
name1="guest"; var password1="guest"; var authLevel1="3"; var
name2="admin2"; var password2="admin"; var authLevel2="3"; var name3="";
var password3=""; var authLevel3="3"; var name4=""; var password4="";
var authLevel4="3"; var name5=""; var password5=""; var authLevel5="3";
var name6=""; var password6=""; var authLevel6="3"; var name7=""; var
password7=""; var authLevel7="3"; var name8=""; var password8=""; var
authLevel8="0"; var name9=""; var password9=""; var authLevel9="0

Учетные данные возвращаются в текстовом виде.

Также эксперты отметили в файле /etc/passwd наличие жестко закодированной записи (CVE-2017-17107):

root:$1$xFoO/s3I$zRQPwLG2yX1biU31a2wxN/:0:0::/root:/bin/sh

Зашифрованный пароль - cat1029.

(none) login: root
Password:
Login incorrect
(none) login: root
Password:
Welcome to SONIX.
\u@\h:\W$

Из-за того, как структурирована файловая система, изменение этого пароля составит нетривиальную задачу.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 12:19

Соответствие законодательству РФ Домашние пользователи Государство Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Операторы хотят вернуть россиянам доступ к Netflix и нейросетям без VPN

Российские операторы связи обсуждают с властями возможность открыть пользователям доступ к зарубежным сервисам, которые формально не заблокированы в России, но всё равно недоступны без VPN. Об этом на полях ПМЭФ рассказал генеральный директор «Билайна» Сергей Анохин.

По его словам, идея так называемых белых списков VPN, которую он ранее озвучивал публично, получила поддержку и теперь развивается дальше. Впрочем, речь идёт уже не совсем о VPN.

Как пояснил Анохин, операторы предлагают дать пользователям возможность напрямую открывать отдельные зарубежные сервисы, не прибегая к обходным инструментам. В качестве примеров он назвал Netflix и популярные нейросети.

«Есть сервисы, которые не подпали под ограничения со стороны Роскомнадзора за неисполнение российского законодательства, но приняли решение не работать в России. Например, ряд развлекательных сервисов, тот же Netflix, нейронные сети. Они востребованы российскими пользователями, но, чтобы ими пользоваться, нужен VPN», — отметил глава «Билайна».

Анохин считает, что у операторов есть понимание, как технически реализовать подобный механизм.

Если идея будет одобрена, может появиться своеобразный список зарубежных сервисов, доступ к которым российские пользователи смогут получать без VPN, несмотря на действующие географические ограничения со стороны самих площадок.

Фактически речь идёт о попытке решить парадоксальную ситуацию, когда сервис не запрещён российскими властями, но воспользоваться им всё равно нельзя без дополнительных инструментов.

Впрочем, до практической реализации пока далеко. Никаких сроков, перечня сервисов или технических деталей участники обсуждения не раскрывают.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!