Уличные IP-камеры видеонаблюдения AirLive подвержены уязвимостям

По крайней мере пять различных моделей IP-камер видеонаблюдения AirLive содержат уязвимости, которые позволяют злоумышленникам получить удаленный доступ к устройствам. ИБ-эксперт Core Security Науэль Рива (Nahuel Riva)  обнаружил  бреши в камерах видеонаблюдения, произведенных компанией OvisLink, в моделях MD-3025, BU-3026 и BU-2015. Устройства подвержены уязвимости инъекции системных команд в двоичном файле cgi_test.cgi. В свою очередь, модели WL-2000CAM и POE-200CAM подвержены уязвимости инъекции системных команд в двоичном файле wireless_mft.cgi.

Уязвимости позволяют злоумышленникам запрашивать данные двоичные файлы без аутентификации, в том случае, если пользователь не указал в конфигурациях камеры использовать HTTPS-соединение, которое не активировано по умолчанию. Злоумышленники могут получить доступ к MAC-адресу, названию модели, аппаратной версии, версии прошивки и другой информации о камере.

Рива несколько раз пытался связаться с представителями AirLive по поводу обнаруженной уязвимости. Несмотря на несколько писем, компания так и не ответила ИБ-эксперту.