Эксперты US-CERT предупреждают о наличии трех неисправленных уязвимостей в прошивке видеорегистраторов AVer Information EH6108H+, которые дают киберпреступникам возможность захватывать контроль над устройством.
Согласно официальному сайту продукта, AVer Information EH6108H+ – это гибридный видеорегистратор, который имеет функции управления IP-камерами и предназначен для трансляции и записи видео. Устройство работает с IP- и CCTV-камерами и дает возможность проводить интернет-трансляцию видео или сохранять его локально. По словам экспертов US-CERT, когда видеорегистратор подключен к интернету, то могут возникнуть проблемы, так как в таком случае хакер может различными способами заполучить доступ к панели управления устройства.
Первая уязвимость состоит из двух бэкдоров – аккаунтов, имеющих суперпользовательские привилегии и неизменяемую учетную информацию. Пароли внедрены в прошивку, невозможно их удаление или деактивация. Хакер, который знает IP-адрес видеорегистратора, может с помощью Telnet подключиться к нему.
Вторая уязвимость дает возможность обходить механизм аутентификации. Киберпреступник может заполучить доступ к панели конфигурации на странице [device_IP]/setup и подобрать значение параметра handle, что позволит ему заполучить доступ к панели администратора, не вводя соответствующую учетную информацию.
Причиной существования третьей уязвимости являются ошибки при обработке учетной информации при различных операциях, что позволяет раскрывать данные.