Een kritieke kwetsbaarheid in beveiligingscamera's van fabrikant Honeywell maakt het mogelijk voor een aanvaller om met de videostream van de apparaten mee te kijken en mogelijk verdere aanvallen uit te voeren. Daarvoor waarschuwt het Amerikaanse cyberagentschap CISA. De in totaal vier verschillende type beveiligingscamera's worden volgens het CISA wereldwijd gebruikt, onder andere in vitale sectoren.

De beveiligingscamera's bevatten een API endpoint dat toegankelijk is voor een ongeauthenticeerde aanvaller. Via dit endpoint kan een aanvaller op afstand het e-mailadres aanpassen dat staat ingesteld voor het resetten van het wachtwoord. De functie is bedoeld voor beheerders die hun wachtwoord zijn vergeten. Een aanvaller kan zo het wachtwoord resetten en op de camera inloggen. Vervolgens kan er met de videostream worden meegekeken, maar het CISA waarschuwt dat een aanvaller zijn toegang tot de camera ook kan gebruiken om het achterliggende netwerk verder te compromitteren.

De impact van de kwetsbaarheid, aangeduid als CVE-2026-1670, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Honeywell roept klanten op om contact op te nemen over een beveiligingsupdate. Het probleem speelt bij de Honeywell HIB2PI, SMB NDAA MVO-3, PTZ WDR 2MP 32M en PTZ WDR 2MP 32M.