Эксперты Positive Technologies обнаружили уязвимости в программном обеспечении систем видеонаблюдения Специалисты Positive Technologies обнаружили целый ряд критических уязвимостей в программном обеспечении цифровых устройств видеонаблюдения (DVR). Воспользовавшись этими проблемами безопасности, злоумышленник может удаленно получать полный контроль над системой видеонаблюдения: просматривать, подменять или удалять записанное видео, использовать систему для проникновения во внутреннюю сеть компании, рассылать спам, а также эксплуатировать эти устройства в других противозаконных целях. Среди найденных ошибок — стандартный пароль суперпользователя, который нельзя сменить из-за особенности его хранения, открытые сервисные порты и множественные уязвимости в программном обеспечении DVR-устройства, открывающие злоумышленнику доступ к системе. Кроме того, исследователям Positive Technologies Андрею Безбородову, Кириллу Ермакову, Александру Распопову и Дмитрию Склярову удалось обнаружить так называемый мастер-пароль, который подходит к учетной записи любого пользователя системы и открывает доступ к устройству видеонаблюдения с максимальными привилегиями. Этот пароль одинаков для всех DVR-устройств под управлением данного программного обеспечения и не может быть изменен пользователем. Устранение найденных уязвимостей осложняется тем фактом, что программное обеспечение для управления системами видеонаблюдения является проприетарным, и в нем, помимо прочего, отсутствует функция автоматического обновления. Устройства, использующие уязвимый софт, продаются под десятками брендов по всему миру. При этом производители зачастую полностью копируют уязвимое ПО и без изменения используют его в собственных разработках. При этом доступа к исходному коду начальной системы, содержащей уязвимости, у них, вероятно, нет, что лишает их возможности устранить ошибки безопасности. По оценкам экспертов Positive Technologies, доля этих систем составляет более 90% сегмента рынка устройств такого класса. Подобные устройства используются в системах безопасности преимущественно малым и средним бизнесом, а также частными лицами (например, для того чтобы присматривать за своей квартирой через Интернет). Большое количество уязвимых систем можно обнаружить в Интернете с помощью обычных поисковых систем. На данный момент поисковики проиндексировали около 500 000 подобных устройств, получить полный доступ к которым не составит для злоумышленника никакого труда. Чтобы получить больше информации об этих и других уязвимостях — напишите нам по электронной почте research@ptsecurity.ru. Positive Technologies — российская компания-эксперт, лидер рынка систем анализа защищенности и соответствия стандартам, входит в топ-10 ведущих мировых игроков в сегменте Vulnerability Assessment*. В основе продуктов и услуг компании — опыт крупнейшего в Европе исследовательского центра, обладающего уникальными знаниями в сфере практической информационной безопасности. Продукты Positive Technologies — MaxPatrol и XSpider — обладают репутацией лучших разработок в этой области. Более подробную информацию можно получить на сайте www.ptsecurity.ru. * По данным отчета IDC “Worldwide Security and Vulnerability Management 2012—2016 Forecast and 2011 Vendor Shares”. Контакты: Мария Широкова, менеджер по связям с общественностью Тел.: (495) 744-01-44, Моб.:+7 (903) 550 67 58 MShirokova@ptsecurity.ru Евгения Тарасова, руководитель пресс-службы Tел.: (495) 744-01-44, Mоб.: +7 (903) 616 79 58 ETarasova@ptsecurity.ru Источник: www.ptsecurity.ru Дата: 19-07-2013 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|