Kamera IP Axis. IPCam
Według porady dotyczące bezpieczeństwa opublikowane przez Axis Communications pod numerem ID ACV-128401, w Axis Camera Network wykryto 7 luk, które umożliwiają zdalne wykonywanie poleceń. Luki zostały oznaczone etykietami CVE; oni są: CVE-2018-10658 , CVE-2018-10659 , CVE-2018-10660 , CVE-2018-10661 , CVE-2018-10662 , CVE-2018-10663 , i CVE-2018-10664 . CVE-2018-10658 może powodować uszkodzenie pamięci w wielu modelach kamer IP firmy Axis, co powoduje awarię typu „odmowa usługi” pochodząca z kodu w obiekcie współdzielonym libdbus-send.so. CVE-2018-10659 rozwiązuje inny problem z uszkodzeniem pamięci powodujący awarię DoS, wysyłając spreparowane polecenie, które przywołuje niezdefiniowaną instrukcję ARM UND. CVE-2018-10660 opisuje lukę umożliwiającą wstrzyknięcie poleceń powłoki. W CVE-2018-10661 opisano omijanie luki w kontroli dostępu. CVE-2018-10662 opisuje ujawnioną lukę w zabezpieczeniach interfejsu. CVE-2018-10663 opisuje nieprawidłowy problem z obliczaniem rozmiaru w systemie. Wreszcie, CVE-2018-10664 opisuje ogólny problem z uszkodzeniem pamięci w procesie httpd wielu modeli kamer IP firmy Axis.
Luki nie zostały przeanalizowane przez CVE MITER jeszcze i nadal oczekują CVSS 3.0 stopni, ale Axis informuje, że w połączeniu z nimi, stwarzane ryzyko jest krytyczne. Zgodnie z oceną ryzyka zawartą w opublikowanym raporcie, osoba atakująca musi uzyskać dostęp sieciowy do urządzenia, aby wykorzystać luki, ale nie potrzebuje żadnych poświadczeń, aby uzyskać ten dostęp. Zgodnie z oceną ryzyko dla wyrobów jest proporcjonalne do stopnia narażenia. Urządzenia z dostępem do Internetu, które są narażone na przekierowanie portu routera, są narażone na wysokie ryzyko, ponieważ urządzenia w chronionej sieci lokalnej są narażone na stosunkowo mniejsze ryzyko wykorzystania.
Firma Axis przedstawiła pełną listę plików produkty, których dotyczy problem a także wydał aktualizacja poprawki oprogramowania sprzętowego, do którego użytkownicy są proszeni, aby zaktualizować je, aby zapobiec wykorzystaniu tych luk. Oprócz tego, zaleca się użytkownikom, aby nie narażali swoich urządzeń na bezpośrednie konfiguracje przekierowania portów internetowych i zaleca się korzystanie z AXIS Companion aplikacja dla systemów Windows, Android i iOS, która zapewnia bezpieczny zdalny dostęp do materiału filmowego. Zalecana jest również wewnętrzna tabela adresów IP wykorzystująca aplikację filtrującą adresy IP, aby zapobiegawczo ograniczać ryzyko wystąpienia takich luk w przyszłości.
