Компания Geovision, занимающаяся IP-камерами и контролем доступа, устранила уязвимости удаленного выполнения кода и ошибки несанкционированного доступа во многих своих продуктах.
Согласно опубликованному разработчиками официальному сообщению, большинство продуктов, работающих с прошивкой старше выпущенной в ноябре-декабре 2017 года, скорее всего, уязвимы.
Среди этих багов есть ошибка, позволяющая удаленно сбросить логин администратора IP-камер на root:PWN, что позволит злоумышленнику удаленно установить собственную прошивку в устройства. Также было опубликовано доказательство концепции, в котором демонстрируется, как сбросить все настройки устройства, включая идентификаторы пользователей и пароли.
Внимания заслуживает опубликованная на GitHub пользователем Bashis информация, где показана атака на видеосервер и камеры Geovision. Geovision, со своей стороны, поблагодарила исследователя за помощь в усилении безопасности своих продуктов.
