Dertienhonderd beveiligingscamera's van fabrikant LG Innotek zijn via een kwetsbaarheid op afstand over te nemen. De apparaten zijn end-of-life en LG zal geen beveiligingsupdate uitbrengen om het probleem te verhelpen, zo heeft het bedrijf laten weten aan het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

De kwetsbaarheid, CVE-2025-7742, bevindt zich in de LNV5110R, een beveiligingscamera bedoeld voor bedrijven. Een 'authentication bypass' maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code met administrator-rechten uit te voeren. De enige voorwaarde is dat een aanvaller een request naar de camera moet kunnen sturen.

"Een aanvaller kan zonder inloggegevens een reverse shell uploaden, administrator-rechten krijgen, willekeurige Linux-commando's uitvoeren en het apparaat als springplank naar interne netwerken gebruiken", aldus beveiligingsonderzoeker Souvik Kandar tegenover SecurityWeek. De onderzoeker, die het probleem ontdekte, stelt dat dertienhonderd LG LND5110R-camera's vanaf het internet toegankelijk zijn en risico lopen te worden aangevallen.

Volgens het CISA worden de camera's wereldwijd gebruikt, onder andere binnen vitale sectoren. De LND5110R is end-of-life en wordt niet meer door LG ondersteund. Het CISA adviseert organisaties om de camera's niet vanaf het internet toegankelijk te maken en als dit toch nodig is een vpn te gebruiken.