Dahua важно патчить: баг в IP-камерах позволяет получить над ними контроль

Dahua важно патчить: баг в IP-камерах позволяет получить над ними контроль

Dahua важно патчить: баг в IP-камерах позволяет получить над ними контроль

В имплементации стандарта Dahua ONVIF (Open Network Video Interface Forum) нашли уязвимость, эксплуатация которой может привести к получению полного контроля над IP-камерами. В Сети всплыли подробности этой проблемы.

Брешь отслеживается под идентификатором CVE-2022-30563, ей присвоили 7,4 балла по шкале CVSS. По словам Nozomi Networks, с помощью бага условный злоумышленник может вклиниться в незашифрованное ONVIF-взаимодействие и направить камере запрос с учетными данными.

Патч вышел месяц назад, поэтому для защиты стоит просто установить его. Уязвимость затрагивает следующие продукты:

  • Dahua ASI7XXX: версии до v1.000.0000009.0.R.220620
  • Dahua IPC-HDBW2XXX: версии до v2.820.0000000.48.R.220614
  • Dahua IPC-HX2XXX: версии v2.820.0000000.48.R.220614

Специалисты Nozomi Networks, выявившие брешь, отметили, что она связана с механизмом аутентификации “WS-UsernameToken”, который внедрен в ряде IP-камер от китайского вендора Dahua. Использовав вектор повторной отправки учетных данных, атакующий мог скомпрометировать камеры. Если говорить точнее, эксплойт позволял создать аккаунт с правами администратора, открывающий неограниченный доступ к уязвимому устройству.

Все, что требовалось для успешной атаки — перехватить один из незашифрованных ONVIF-запросов. Затем он использовался для создания уже вредоносного запроса с теми же аутентификационными данными, что позволяло заставить устройство создать аккаунт администратора.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Прокуратура Москвы рассказала о новом скрипте мошенников

Мошенники начали использовать новый сценарий обмана, представляясь сотрудниками службы по защите прав потребителей. Под предлогом «спасения сбережений» от якобы кражи, злоумышленники убеждают жертв передать наличные деньги курьерам. Один из последних случаев закончился хищением 5 млн рублей у пожилой пары в Москве.

О появлении новой схемы сообщил ТАСС со ссылкой на прокуратуру Москвы. По данным ведомства, мошенники действовали под видом представителей службы по защите прав потребителей и выманили крупную сумму у 78-летнего москвича и его супруги.

«Новая "маска" телефонных мошенников — теперь они представляются службой защиты прав потребителей. Именно из этой "службы" позвонил 78-летнему москвичу "ведущий сотрудник". Некий мужчина, представившийся Алексеем Федоровичем, сообщил, что деньги пенсионера похищены, но можно их вернуть. Для этого необходимо выполнять все указания и придумать кодовое слово для дальнейшего общения», — приводит ТАСС выдержку из сообщения надзорного ведомства.

По легенде мошенников, на счет одного из супругов должна была поступить компенсация, которую требовалось передать «специалистам» службы через курьеров. Пенсионеры несколько раз снимали крупные суммы со своих счетов и передавали деньги людям, называвшим согласованное кодовое слово. В итоге они лишились около 5 млн рублей.

«Кодовое слово — верный признак мошенничества. Как только по телефону просят передать сбережения курьеру — прекратите общение, положите трубку. Остались сомнения — самостоятельно проверьте информацию, позвонив в тот орган или организацию, от имени которых якобы поступил звонок», — предупредили в прокуратуре Москвы.

Ранее аферисты уже использовали похожие схемы, включая случаи, когда жертв просили не передавать деньги лично, а оставлять их в почтовых ящиках. При этом структура сценариев и легенд остаётся неизменной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru