Уязвимости в охранных системах ZoneMinder создают условия для слежки

Татьяна Никитина 28 Июня 2022 - 16:21

Домашние пользователи

Корпорации

Positive Technologies

Уязвимости программ

Патчи

...

Уязвимости в охранных системах ZoneMinder создают условия для слежки

Эксперт Positive Technologies обнаружил две уязвимости в системе видеонаблюдения ZoneMinder. Одна из них позволяет получить доступ к внутренней сети и видеопотоку и признана критической.

Продукт ZoneMinder с открытым исходным кодом предназначен для построения корпоративных охранных систем и установки домашнего видеонаблюдения. Проблемы выявлены в выпуске 1.36.14; патчи включены в состав сборки 1.36.16 (коммит на GitHub от 27 мая).

Наиболее опасна уязвимость, получившая 9,1 балла по шкале CVSS. Эксплойт возможен при наличии прав администратора и после аутентификации позволяет выполнить сторонний код на хосте с набором приложений ZoneMinder.

В результате автор атаки сможет проникнуть во внутреннюю сеть жертвы, а также вести перехват видеотрафика. Подобная возможность позволяет, например, получить данные о внутреннем устройстве здания и режиме работы сотрудников компании, в частности, ее службы охраны. В тех случаях, когда ZoneMinder защищает частную собственность, существует риск слива доступа на рынки даркнета.

Менее опасная уязвимость (4,8 балла) классифицируется как хранимая XSS; по свидетельству PT, она связана с отсутствием предварительной обработки пользовательского ввода. Эксплойт позволяет получить доступ к конфиденциальным данным — например, о сессиях пользователей на узле с запущенным веб-приложением ZoneMinder.

«Это весьма распространенное бесплатное решение для установки системы видеонаблюдения, — рассказывает автор находок Илья Яценко. — Оно используется и дома, и в компаниях, в том числе на промышленных предприятиях. Согласно нашим оценкам, наибольшее число пользователей ПО — в США, Польше, Италии, Германии, Люксембурге и России. В некоторых случаях администраторы позволяют подключиться к ZoneMinder без аутентификации, что весьма опасно: злоумышленник может воспользоваться такими системами, как Shodan, для поиска доступных в интернете узлов с установленным ZoneMinder».

Причины появления подобных уязвимостей, по словам исследователя, могут быть различными — ошибки в коде, использование устаревших технологий, недостаточно тщательное проведение аудита. Эффективно пресечь попытки эксплойта помогают продукты класса NTA — анализаторы сетевого трафика.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 30 Октября 2025 - 13:43

Общее Яндекс

В Яндекс Таблицах появился ИИ и совместное редактирование до 400 человек

Яндекс 360 представил масштабное обновление сервиса Яндекс Документы. Теперь в Яндекс Таблицах появились инструменты на базе искусственного интеллекта, которые помогают быстрее работать с данными. Обновления представили на конференции Yandex Connect.

ИИ в Таблицах умеет структурировать и анализировать данные, переводить тексты, сокращать длинные фразы и даже определять тональность отзывов — положительную, нейтральную или отрицательную.

Например, он может распределить список товаров по категориям или привести даты к единому формату.

Для обращения к ИИ нужно использовать функцию «АЛИСАПРО» — она понимает команды на естественном языке. Пользователь может просто написать «Раздели товары на категории» или «Убери лишние пробелы». В основе лежат языковые модели семейства Алиса AI, которые также применяются в новом помощнике Алиса Про. В бесплатной версии Яндекс Таблиц доступно до 50 запросов в месяц.

До конца года в Яндекс Документах появится обновлённая функция совместного редактирования — над одним файлом смогут работать до 400 пользователей одновременно. Для этого в Яндекс 360 разработали собственную реализацию технологии CRDT, которая используется в системах с постоянной синхронизацией данных, например в мессенджерах и онлайн-играх.

Кроме того, в первом квартале 2026 года выйдут десктопные приложения Документов и Таблиц для Windows, macOS и Linux. Они будут совместимы с MS Office и поддержат редактирование, комментирование и рецензирование файлов. Позже появится синхронизация с облаком.

Редакторы Документов и Таблиц также станут доступны по модели on-premises — компании смогут развернуть сервисы на своей инфраструктуре и хранить данные внутри организации. Это решение ориентировано на бизнесы и структуры с повышенными требованиями к безопасности.

В 2026 году Яндекс также перезапустит редактор презентаций: он перейдёт на собственную технологическую платформу Яндекс 360, что позволит повысить производительность и быстрее добавлять новые функции.

Сегодня мы также опубликовали подробный разбор представленных на Yandex Connect 2025 нововведений. Модель on-premises, защищённый клиент иИИ-ассистент Алиса Про — читайте обо всём этом в нашей статье.

Уязвимости в охранных системах ZoneMinder создают условия для слежки

Читайте также