شماره: IRCNE2013041831
تاريخ: 10/02/91
به گفته محققين امنيتي، تعدادي از دوربينهاي مداربسته مبتني بر IP توليد شده توسط D-Link داراي آسيبپذيريهاي سفتافزاري هستند كه ميتوانند به مهاجم اجازه دهند جريان ويدئو را قطع نمايد.
شركت Core Security كه در بوستون واقع بوده و در تشخيص و تحقيق درباره آسيبپذيريها تخصص دارد، روز دوشنبه جزئيات پنج آسيبپذيري سفتافزار D-Link را منتشر كرد كه حداقل 14 محصول اين شركت را تحت تأثير قرار ميدهند.
D-Link توليد كننده دوربينهاي اينترنتي مختلفي است كه به شركتهاي تجاري و ساير مشتريان عرضه ميكند. اين دوربينها ميتوانند تصوير و ويدئو را ضبط كرده و از طريق پنلهاي كنترلي مبتني بر وب، كنترل گردند.
يكي از مدلهاي آسيبپذير به نام DCS-5605/DCS-5635، داراي ويژگي تشخيص حركت است كه D-Link براي بانكها، بيمارستانها و دفاتر تجاري پيشنهاد داده است.
محققان Core Security كشف كردهاند كه در مدلهاي آسيبپذير، دسترسي بدون احراز هويت به يك جريان ويدئوي زنده از طريق RTSP و همچنين خروجي ASCII يك جريان ويدئو ممكن است. RTSP يك پروتكل سطح كاربرد براي انتقال دادههاي بلادرنگ است.
اين محققان همچنين مشكلي را در پنل كنترلي مبتني بر وب كشف كردهاند كه به هكر اجازه ميدهد دستورات دلخواه خود را وارد نمايد. Core Security در راهنمايي امنيتي خود نوشت كه در خطاي ديگري اطلاعات لاگين كه بهصورت كد درون اين سفتافزار قرار گرفتهاند ميتوانند بهعنوان يك راه نفوذ مخفي عمل كرده و به مهاجم راه دور اجازه دهند به جريان ويدئوي RTSP دسترسي يابد.
بنا بر ادعاي Core Security، اين شركت در 29 مارس در مورد اين مشكلات به D-Link اطلاعرساني كرده است.
- 2