EZVIZ Nesnelerin İnterneti (IoT) kameralarının en az beş modeli, tehdit aktörlerinin cihazlardan videoya erişmesine, videonun şifresini çözmesine ve video indirmesine yol açabilecek bir dizi güvenlik açığına karşı savunmasızdır.
EZVIZ, dünya genelinde kullanılan ve düzinelerce IoT güvenlik kamerası modeli sunan, bulut bağlantılı bir akıllı ev güvenlik markasıdır.
Bitdefender’daki analistler, IoT donanım güvenliğine yönelik devam eden araştırmalarının bir parçası olarak, en az beş EZVIZ kamera modelinde güvenlik açıkları belirledi, ancak ekip, etkilenen başka ürünler de olabileceğini ekledi:
- CS-CV248 [20XXXXX72] – V5.2.1 yapı 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 derlemesi 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 yapı 211208
- CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 yapı 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 yapı 22012
İlk olarak, güvenlik araştırmacıları, uzaktan kod yürütülmesine yol açabilecek yığın tabanlı bir arabellek taşması hatası belirledi (CVE-2022-2471). Buna ek olarak, araştırmacılar, birkaç API uç noktasında, bir siber saldırganın kameranın kontrolünü ele geçirmesine izin verebilecek güvenli olmayan bir doğrudan nesne referans güvenlik açığı ve bir saldırganın videonun şifreleme anahtarını çalmasına izin veren üçüncü bir uzak hata buldular.
Son olarak, CVE-2022-2472 kapsamında izlenen yerel bir güvenlik açığı, bir saldırganın ciddi bir şekilde cihazı ele geçirmesine olanak tanır.
“Papatya zinciriyle bağlandığında, keşfedilen güvenlik açıkları bir saldırganın kamerayı uzaktan kontrol etmesine, görüntüleri indirmesine ve şifrelerini çözmesine izin veriyor” dedi. IoT siber güvenlik araştırma ekibi eklendi. “Bu güvenlik açıklarının kullanılması, kimlik doğrulamayı atlayabilir ve potansiyel olarak uzaktan kod yürütebilir, bu da etkilenen kameraların bütünlüğünden daha fazla ödün verebilir.”
Bitdefender, EZVIZ’in IoT hatasından etkilenen kameralar için Haziran ayından itibaren güvenlik güncellemeleri yayınlamaya başladığını duyurdu.