Критические уязвимости в 60 моделях систем видеонаблюдения и IP-камер

Группа студентов из Европейского университета в Мадриде опубликовала в онлайне результаты своей дипломной работы на факультете информационных технологий. Они исследовали защиту различных систем видеонаблюдения, найденных в интернете через Google и Shodan.

В общей сложности, были проанализированы системы 9-ти производителей, в них обнаружено 14 уязвимостей: от простых XSS и CSRF до очень опасных, таких как эскалация привилегий и обход аутентификации.

Авторы подчеркивают, что эксплойты проверяли только через интернет на чужом оборудовании, так что они не покупали оборудование и не проверяли код непосредственно на нем.

По поводу всех уязвимостей производители уведомлены и недавно выпустили патчи. В некоторых случаях патчи вышли буквально пару дней назад, так что эксплойты до сих пор эффективны на большинстве устройств.

Авторы исследования Элизер Лопес (Eliezer Varadé Lopez), Хавьер Санчес (Javier Repiso Sánchez) и Йонас Кастильо (Jonás Ropero Castillo) 12 июня 2013 года опубликовали описание уязвимостей и код эксплойтов в рассылке Full Disclosure.