Zavio ip-camera's via kritieke lekken over te nemen, maar fabrikant is failliet
Onderzoekers hebben in ip-camera's van fabrikant Zavio tientallen kwetsbaarheden gevonden waardoor de apparaten op afstand zijn over te nemen. Het bedrijf is echter failliet, waardoor de beveiligingslekken nooit meer zullen worden verholpen. Zavio leverde wereldwijd beveiligingscamera's en zou met name in Europa en de Verenigde Staten een groot aantal gebruikers hebben gehad, aldus securitybedrijf BugProve dat de problemen aantrof.
Het gaat om memory corruption en command injection kwetsbaarheden waardoor een ongeauhenticeerde aanvaller in het ergste geval op afstand code kan uitvoeren en zo volledige controle over de camera kan krijgen, om bijvoorbeeld met de beelden mee te kijken of er ddos-aanvallen mee uit te voeren. Een aanvaller hoeft alleen de camera te kunnen benaderen. De firmware (M2.1.6.05) waarin de in totaal 34 kwetsbaarheden werden aangetroffen wordt door elf verschillende cameramodellen van Zavio gebruikt.
BugProve meldde de problemen vorig jaar december aan Zavio, maar kreeg ondanks meerdere pogingen geen reactie. Vervolgens werden de kwetsbaarheden gemeld bij het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Aangezien de kwetsbaarheden zijn te herleiden naar twee hoofdoorzaken kende het CISA twee CVE-nummers toe, namelijk CVE-2023-4249 en CVE-2023-3959. Doordat de fabrikant geen patches meer zal uitbrengen krijgen gebruikers het advies de camera's te vervangen.
Paar jaar verkopen en dan stekker eruit.
Nou dat lijkt me dan triviaal om te voorkomen. Stop je camera's in een apart VLAN samen met de DVR, en geef in je router alleen lokaal toegang naar de DVR toe, niet naar de camera's.
Nou dat lijkt me dan triviaal om te voorkomen. Stop je camera's in een apart VLAN samen met de DVR, en geef in je router alleen lokaal toegang naar de DVR toe, niet naar de camera's.
Je gaat ervan uit dat een aanval steeds van buiten af komt, de meeste aanvallen komen echter van binnenuit.
Vaak gaat het om mensen die hun toegang misbruiken, het zogenoemde "unauthorised use" of "privilege abuse".
Nou dat lijkt me dan triviaal om te voorkomen. Stop je camera's in een apart VLAN samen met de DVR, en geef in je router alleen lokaal toegang naar de DVR toe, niet naar de camera's.
Je gaat ervan uit dat een aanval steeds van buiten af komt, de meeste aanvallen komen echter van binnenuit.
Vaak gaat het om mensen die hun toegang misbruiken, het zogenoemde "unauthorised use" of "privilege abuse".
En voor dat aanvalsmodel is het wel bijzonder dat je aanneemt dat die aanvaller die binnen zit en WEL op het vlan kan dan toch een hack moet gebruiken omdat die aanvaller het password dan niet zou weten .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.