Onderzoekers hebben in ip-camera's van fabrikant Zavio tientallen kwetsbaarheden gevonden waardoor de apparaten op afstand zijn over te nemen. Het bedrijf is echter failliet, waardoor de beveiligingslekken nooit meer zullen worden verholpen. Zavio leverde wereldwijd beveiligingscamera's en zou met name in Europa en de Verenigde Staten een groot aantal gebruikers hebben gehad, aldus securitybedrijf BugProve dat de problemen aantrof.

Het gaat om memory corruption en command injection kwetsbaarheden waardoor een ongeauhenticeerde aanvaller in het ergste geval op afstand code kan uitvoeren en zo volledige controle over de camera kan krijgen, om bijvoorbeeld met de beelden mee te kijken of er ddos-aanvallen mee uit te voeren. Een aanvaller hoeft alleen de camera te kunnen benaderen. De firmware (M2.1.6.05) waarin de in totaal 34 kwetsbaarheden werden aangetroffen wordt door elf verschillende cameramodellen van Zavio gebruikt.

BugProve meldde de problemen vorig jaar december aan Zavio, maar kreeg ondanks meerdere pogingen geen reactie. Vervolgens werden de kwetsbaarheden gemeld bij het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Aangezien de kwetsbaarheden zijn te herleiden naar twee hoofdoorzaken kende het CISA twee CVE-nummers toe, namelijk CVE-2023-4249 en CVE-2023-3959. Doordat de fabrikant geen patches meer zal uitbrengen krijgen gebruikers het advies de camera's te vervangen.