130000 IP камер и видеорегистраторов компании Avtech могут быть легко использованы в качестве IoT ботнетов

130000 IP камер и видеорегистраторов компании Avtech могут быть легко использованы в качестве IoT ботнетов

Исследователь безопасности Джерджели Эберхард обнаружил более десятка уязвимостей в большинстве IP-камер и видеорегистраторов тайваньского производителя Avtech. Среди уязвимостей – хранение пароля администратора в виде просто текста, возможности обойти процедуру аутентификации.

Эберхард, который работает на венгерскую компанию, осуществляющую тестирование безопасности оборудования Search Lab, говорит, что окончательные данные, вероятно, будут еще выше, поскольку эти уязвимости были найдены в течение короткого периода времени, а исследование делалось без какого-либо системного подхода.

Согласно руководству, опубликованному компанией Search Lab, они неоднократно пытались войти в контакт с фирмой Avtech, чтобы поделиться полученными результатами исследований, но не достигли успеха в этом направлении. Таким образом, исследователи были вынуждены сделать информацию об уязвимостях достоянием общественности. Это произошло спустя год после их обнаружения.

Наряду с руководством они опубликовали POC сценарии для некоторых недостатков.
«Более 130.000 устройств компании Avtech используются в Интернете», — отметили представители Search Lab.

После публикации всей этой информацией и при отсутствии каких-либо патчей от производителя, эти устройства полностью готовы для взлома и использования в качестве ботнетов.

И стоит отметить, что в настоящее время IoT ботнеты растут, как грибы после дождя.

Исследователи советуют всем пользователям, обладателям устройств Avtech, изменить пароль администратора по умолчанию и сделать их веб-интерфейс недоступным через Интернет.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации