Bezpečnostní společnost Bitdefender odhalila dvě závažné zranitelnosti ve firmwaru chytrých kamer Dahua, které mohly umožnit neautentizovaným útočníkům převzít plnou kontrolu nad zranitelnými zařízeními. Slabiny se týkají modelů z řad IPC a SD a byly opraveny ve verzích firmwaru vydaných po 16. dubnu 2025.

„Tyto chyby, které ovlivňují ONVIF protokol zařízení a obsluhu nahrávání souborů, umožňují neautentizovaným útočníkům vzdáleně spouštět libovolné příkazy a prakticky převzít kontrolu nad zařízením,“ uvedla společnost ve zprávě.

Zranitelnosti označené jako CVE-2025-31700 a CVE-2025-31701 mají CVSS skóre 8,1 a vycházejí z přetečení vyrovnávací paměti. První se týká obsluhy požadavků protokolu ONVIF, druhá pak chybného zpracování RPC při nahrávání souborů. Úspěšné zneužití umožňuje odmítnutí služby (DoS) nebo vzdálené spuštění kódu (RCE).

Dahua ve svém upozornění připustila, že některá zařízení využívají ochranné mechanismy, například náhodné rozložení adresového prostoru (ASLR). „To snižuje pravděpodobnost úspěšné exploitace pro vzdálené spuštění kódu, avšak útoky typu denial-of-service stále představují riziko,“ uvedla firma.

Problém je vážný zejména proto, že zařízení se používají v maloobchodě, kasinech, skladech i rezidenčních prostorách. Není přitom nutné žádné ověření, stačí přístup do místní sítě. „Zařízení zpřístupněná na internetu prostřednictvím přesměrování portů nebo UPnP jsou obzvláště ohrožená. Úspěšná exploitace poskytuje přístup na úrovni root bez zásahu uživatele,“ doplnila firma. Útočníci tak mohou nahrávat nepodepsané soubory a udržet si přístup i po restartu zařízení.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS