Nieuws
image

Zavio ip-camera's via kritieke lekken over te nemen, maar fabrikant is failliet

donderdag 7 september 2023, 14:33 door Redactie, 8 reacties

Onderzoekers hebben in ip-camera's van fabrikant Zavio tientallen kwetsbaarheden gevonden waardoor de apparaten op afstand zijn over te nemen. Het bedrijf is echter failliet, waardoor de beveiligingslekken nooit meer zullen worden verholpen. Zavio leverde wereldwijd beveiligingscamera's en zou met name in Europa en de Verenigde Staten een groot aantal gebruikers hebben gehad, aldus securitybedrijf BugProve dat de problemen aantrof.

Het gaat om memory corruption en command injection kwetsbaarheden waardoor een ongeauhenticeerde aanvaller in het ergste geval op afstand code kan uitvoeren en zo volledige controle over de camera kan krijgen, om bijvoorbeeld met de beelden mee te kijken of er ddos-aanvallen mee uit te voeren. Een aanvaller hoeft alleen de camera te kunnen benaderen. De firmware (M2.1.6.05) waarin de in totaal 34 kwetsbaarheden werden aangetroffen wordt door elf verschillende cameramodellen van Zavio gebruikt.

BugProve meldde de problemen vorig jaar december aan Zavio, maar kreeg ondanks meerdere pogingen geen reactie. Vervolgens werden de kwetsbaarheden gemeld bij het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Aangezien de kwetsbaarheden zijn te herleiden naar twee hoofdoorzaken kende het CISA twee CVE-nummers toe, namelijk CVE-2023-4249 en CVE-2023-3959. Doordat de fabrikant geen patches meer zal uitbrengen krijgen gebruikers het advies de camera's te vervangen.

Reacties (8)
Reageer met quote
07-09-2023, 19:42 door Anoniem
Fabrikanten zouden gewoon hun code moeten open sourcen zodra ze failliet gaan, dan kan de community het altijd zelf patchen.
Reageer met quote
07-09-2023, 20:27 door Anoniem
Als het mogelijk is om via deze kwetsbaarheden software op de camera’s uit te voeren, dan is het misschien ook wel mogelijk om betere software op de camera’s te zetten?
Reageer met quote
07-09-2023, 22:44 door Anoniem
Door Anoniem: Fabrikanten zouden gewoon hun code moeten open sourcen zodra ze failliet gaan, dan kan de community het altijd zelf patchen.
Het is niet altijd de code van de fabrikant zelf. De rechten kunnen liggen bij een ander bedrijf, bij voorbeeld een leverancier van een component, en de fabrikant heeft alleen een beperkte licentie genomen. De rechten overnemen zou het product niet rendabel maken
Reageer met quote
08-09-2023, 01:08 door Anoniem
Hm nieuw business model om onder de patch en onderhouds plicht uit te komen?
Paar jaar verkopen en dan stekker eruit.
Reageer met quote
08-09-2023, 11:04 door Anoniem
"Een aanvaller hoeft alleen de camera te kunnen benaderen."

Nou dat lijkt me dan triviaal om te voorkomen. Stop je camera's in een apart VLAN samen met de DVR, en geef in je router alleen lokaal toegang naar de DVR toe, niet naar de camera's.
Reageer met quote
09-09-2023, 12:10 door Anoniem
Door Anoniem: "Een aanvaller hoeft alleen de camera te kunnen benaderen."

Nou dat lijkt me dan triviaal om te voorkomen. Stop je camera's in een apart VLAN samen met de DVR, en geef in je router alleen lokaal toegang naar de DVR toe, niet naar de camera's.

Je gaat ervan uit dat een aanval steeds van buiten af komt, de meeste aanvallen komen echter van binnenuit.
Vaak gaat het om mensen die hun toegang misbruiken, het zogenoemde "unauthorised use" of "privilege abuse".
Reageer met quote
09-09-2023, 15:32 door Anoniem
Door Anoniem:
Door Anoniem: Fabrikanten zouden gewoon hun code moeten open sourcen zodra ze failliet gaan, dan kan de community het altijd zelf patchen.
Het is niet altijd de code van de fabrikant zelf. De rechten kunnen liggen bij een ander bedrijf, bij voorbeeld een leverancier van een component, en de fabrikant heeft alleen een beperkte licentie genomen. De rechten overnemen zou het product niet rendabel maken
Daarnaast neemt bij een failissement een curator de bedrijfsvoering over, en die bepaalt wat het bedrijf nog wel of niet doet. Die heeft als opdracht om de schuldeisers zo goed mogelijk schadeloos te stellen, en dat is een volkomen ander doel dan bezitters van die apparaten van broncode te voorzien. Broncode zal heel wat beter verkoopbaar zijn aan een geïnteresseerde partij als die closed source is dan wanneer die open source gemaakt wordt. Ik zie een curator dat niet doen. Een failliet bedrijf dus ook niet, want daar bepaalt de curator wat er gebeurt.
Reageer met quote
11-09-2023, 17:20 door Anoniem
Door Anoniem:
Door Anoniem: "Een aanvaller hoeft alleen de camera te kunnen benaderen."

Nou dat lijkt me dan triviaal om te voorkomen. Stop je camera's in een apart VLAN samen met de DVR, en geef in je router alleen lokaal toegang naar de DVR toe, niet naar de camera's.

Je gaat ervan uit dat een aanval steeds van buiten af komt, de meeste aanvallen komen echter van binnenuit.
Vaak gaat het om mensen die hun toegang misbruiken, het zogenoemde "unauthorised use" of "privilege abuse".

En voor dat aanvalsmodel is het wel bijzonder dat je aanneemt dat die aanvaller die binnen zit en WEL op het vlan kan dan toch een hack moet gebruiken omdat die aanvaller het password dan niet zou weten .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search