Chyba ve firmwaru IP kamer D-Link umožňuje průnik do video streamu (Aktualizace: návod k updatu)

Výzkumníci Core Security nalezli chybu a nedostatky v kódu firmwaru používaném v řadě IP kamer značky D-Link. Útočníkovi umožňují např. odchytávat obraz. Upozorněte své zákazníky. Uvnitř uvádíme návod k nápravě.

Chyba ve firmwaru IP kamer D-Link umožňuje průnik do video streamu (Aktualizace: návod k updatu)



Pokud dodáváte do organizací IP kamery značky D-Link, doporučujeme upozornit zákazníky, kterým jste poskytli níže popsané modely, a nabídnout jim zajštění záplat.

Řada IP dohledových kamer od D-Linku obsahuje zranitelnosti firmwaru, které útočníkovi mohou umožnit odchytávat streamované video, uvádí výzkumníci.

Core Security, americká společnost specializující se na detekci zranitelností a výkum, zveřejnila zprávu a napadnutelnosti 14 kamer. Jeden ze zranitelných modelů, DCS-5605/DCS-5635, disponuje detekcí pohybu, kterou lze podle D-Linku využít například v bankovních organizacích, nemocnicích nebo kancelářích.

Výzkumníci z Core Security našli možnost, jak bez autentifikace přistoupit k video streamu přes RTSP (real time streaming protocol) nebo ASCII výstupu video streamu. RTSP je protokol na úrovni aplikací pro přenos dat v reálném čase.

Odborníci dále zjistili, že webový ovládací panel může hackerovi umožnit zadávání libovolných příkazů. V další chybě D-Link zakódoval přístupové údaje do firmwaru, což „účinně slouží jako zadní vrátka, která umožňují vzdáleným útočníkům přustupovat k RTSP video streamu,“ uvádí Core Security.

Technické detaily a ohrožené modely byly zveřejněny v plné příloze v sekci Seclists.org. Některé produkty již D-Link stáhl. D-Link údajně připravuje záplaty firmwaru, které by měly být publikovány v následujících dnech.


Aktualizace 2. 5. 2013, 17:42:

D-Link vydal dnes oznámení, v němž uvádí: „Bezpečnost patří mezi nejvyšší priority společnosti D-Link v rámci všech produktový řad, včetně IP dohledu, síťové infrastruktury a ukládání či zpracování dat. Poté, co společnost Core Security upozornila na chyby ve firmware několika modelů IP kamer, D-Link začal bezprostředně pracovat na tvorbě záplat.“

Beta firmware záplaty jsou nyní k dispozici ke stažení na  www.dlink.com/uk/en/support/camerasecurity. Plné verze firmware pak budou k dispozici na stejném odkazu zhruba během 30 dní.

Jak aktualizovat firmware D-Link DCS kamer?

  • Stáhněte si soubor s firmware do svého PC.
  • Do webového prohlížeče zadejte IP adresu kamery a přihlaste se do webového administračního rozhraní kamery.
  • Přejděte na ÚDRŽBA -> UPGRADE FIRMWARE.
  • Klikněte na tlačítko PROCHÁZET a vyberte soubor s novým firmware uloženým ve vašem počítači.
  • Aktualizujte firmware kliknutím na tlačítko UPLOAD a vyčkejte, až aktualizace plně proběhne.

Důležité upozornění

D-Link zákazníky i partnery upozorňuje, aby před upgradem firmwaru zálohovali nastavení svého zařízení. Pokud je firmware stažený ve formě komprimovaného souboru, je nutné jej před použitím extrahovat.

Pokud je to možné, neměli byste upgradovat firmware pomocí bezdrátového připojení z důvodu rizika přerušení spojení a následné nepoužitelnosti kamery. 


Zdroj: IDG News Service, D-Link







Komentáře