EN ÇOK OKUNAN HABERLER
Haberler Yükleniyor...
E-BÜLTENİMİZE ABONE OLUN!
Sektördeki son haberleri takip etmek
için ücretsiz haftalık bültenimize
abone olun...
Sektörden İş Fırsatları
Güvenlik sektöründeki iş fırsatlarını buradan takip edebilirsiniz! Aradığınız kariyer fırsatları burada...
HABER DETAYI
Axis Kameralara Büyük Şok: 400 Kamera için Kritik Yama Geldi
400 modelde kritik güvenlik açıkları tespit edildi.
Yaklaşık 400 Axis güvenlik kamerası modelinde, bir cihazın tam kontrolünü ele geçirmek ve akışına erişmek için kullanılabilecek kritik sorunlar da dahil olmak üzere çeşitli güvenlik açıklarından etkilendiği açıklandı.
Bilgi güvenliği şirketi VDOO tarafından Nesnelerin İnterneti hakkında yapılan bu araştırmanın bir parçası olarak, Axis tarafından üretilen kameralarda toplam yedi güvenlik açığı keşfedildi. Axis, açıklardan etkilenen 400 model tespit etti ve her biri için kritik güvenlik güncelleştirmeleri yayımladı.
VDOO araştırmacıları, Axis kameranın IP adresini bilen saldırganların, çeşitli güvenlik açıkları ile kameranın yönetimini ele geçirebileceklerini ortaya koydu. VDOO uzmanlara göre, hedef kameranın IP adresini bilen bir saldırgan, uzaktan ve kimlik doğrulaması olmadan cihazın tam kontrolünü ele geçirebiliyor. DDoS saldırılarını ve kriptojacking yöntemlerini kullanan saldırganlar, video akışına erişmek, video akışını dondurmak, kameranın yönünü ve işlevlerini kontrol etmek, yazılımı değiştirmek gibi ciddi saldırılarda bulunabiliyor.
Kesin güvenlik açıklarının sayısı 7 olarak açıklanırken (CVE-2018-10658, CVE-2018-10659, CVE-2018-10660, CVE-2018-10661, CVE-2018-10662, CVE-2018-10663 ve CVE-2018-10664 ) bazı güvenlik açıklarının tek bir saldırıda bir araya getirilebileceğinin altı çiziliyor. Araştırmaya göre cihazı uzaktan kopyalamak üç güvenlik açığını kullanılabiliyor. Bunlar, bir saldırganın kimlik doğrulamasını atlamasına (CVE-2018-10661), özel olarak tasarlanmış istekler (CVE-2018-10662) göndermesine ve isteğe bağlı komutları (CVE-2018-10660) enjekte etmesine izin veriyor.
Bildirilen güvenlik açıklarının üçünü birleştirerek, kimliği doğrulanmamış bir uzak saldırgan, kamerayı tam olarak kontrol etmek için ağ üzerinden kamera giriş sayfasına erişebiliyor. Savunmasız kameralar üzerinde kontrolü elde eden bir saldırgan, kameraların video akışına erişerek ve dondurarak kameranin çalışma şeklini de etkileyebiliyor. Ayrıca sesi dinleyebiliyor, kameranın hareketini kontrol edebiliyor ve kamerayı bir botnet'e ekleyebiliyor. Kamera ayrıca DDoS saldırıları için bir giriş noktası olarak da dağıtılabilir.
VDOO CTO Asaf Karas, saldırganın kameranın herhangi bir özelliğini kullanabilmesi nedeniyle, kök erişim kusurlarının çok tehdit edici olduğunu söylüyor. Karas’a göre bu güvenlik açıklarını yamadan önce çok uzun bir süre önce bilen kişilerin, bireyin mahremiyetini ve organizasyonunun güvenliğini önemli ölçüde ihlal etmiş olması mümkün.
Güvenlik açıklarının yayınlanmasından sonra, Axis, güvenliği ihlal edilen tüm kameraların modellerini içeren bir bildiri yayınladığını duyurdu. Yaklaşık olarak 400 kamerayı etkileyen açıklardan kullanıcıların zarar görmemesi için güvenlik yamalarını indirmeleri öneriliyor.
Bilgi güvenliği şirketi VDOO tarafından Nesnelerin İnterneti hakkında yapılan bu araştırmanın bir parçası olarak, Axis tarafından üretilen kameralarda toplam yedi güvenlik açığı keşfedildi. Axis, açıklardan etkilenen 400 model tespit etti ve her biri için kritik güvenlik güncelleştirmeleri yayımladı.
VDOO araştırmacıları, Axis kameranın IP adresini bilen saldırganların, çeşitli güvenlik açıkları ile kameranın yönetimini ele geçirebileceklerini ortaya koydu. VDOO uzmanlara göre, hedef kameranın IP adresini bilen bir saldırgan, uzaktan ve kimlik doğrulaması olmadan cihazın tam kontrolünü ele geçirebiliyor. DDoS saldırılarını ve kriptojacking yöntemlerini kullanan saldırganlar, video akışına erişmek, video akışını dondurmak, kameranın yönünü ve işlevlerini kontrol etmek, yazılımı değiştirmek gibi ciddi saldırılarda bulunabiliyor.
Kesin güvenlik açıklarının sayısı 7 olarak açıklanırken (CVE-2018-10658, CVE-2018-10659, CVE-2018-10660, CVE-2018-10661, CVE-2018-10662, CVE-2018-10663 ve CVE-2018-10664 ) bazı güvenlik açıklarının tek bir saldırıda bir araya getirilebileceğinin altı çiziliyor. Araştırmaya göre cihazı uzaktan kopyalamak üç güvenlik açığını kullanılabiliyor. Bunlar, bir saldırganın kimlik doğrulamasını atlamasına (CVE-2018-10661), özel olarak tasarlanmış istekler (CVE-2018-10662) göndermesine ve isteğe bağlı komutları (CVE-2018-10660) enjekte etmesine izin veriyor.
Bildirilen güvenlik açıklarının üçünü birleştirerek, kimliği doğrulanmamış bir uzak saldırgan, kamerayı tam olarak kontrol etmek için ağ üzerinden kamera giriş sayfasına erişebiliyor. Savunmasız kameralar üzerinde kontrolü elde eden bir saldırgan, kameraların video akışına erişerek ve dondurarak kameranin çalışma şeklini de etkileyebiliyor. Ayrıca sesi dinleyebiliyor, kameranın hareketini kontrol edebiliyor ve kamerayı bir botnet'e ekleyebiliyor. Kamera ayrıca DDoS saldırıları için bir giriş noktası olarak da dağıtılabilir.
VDOO CTO Asaf Karas, saldırganın kameranın herhangi bir özelliğini kullanabilmesi nedeniyle, kök erişim kusurlarının çok tehdit edici olduğunu söylüyor. Karas’a göre bu güvenlik açıklarını yamadan önce çok uzun bir süre önce bilen kişilerin, bireyin mahremiyetini ve organizasyonunun güvenliğini önemli ölçüde ihlal etmiş olması mümkün.
Güvenlik açıklarının yayınlanmasından sonra, Axis, güvenliği ihlal edilen tüm kameraların modellerini içeren bir bildiri yayınladığını duyurdu. Yaklaşık olarak 400 kamerayı etkileyen açıklardan kullanıcıların zarar görmemesi için güvenlik yamalarını indirmeleri öneriliyor.
Bu Haberin Yorumları
Yorum Yazın
Yorum Yazın
