От шантажа до слежки за детьми. У тысяч камер наблюдения в России нашлась уязвимость
ИБ-эксперт Соловьев объяснил, чем опасна уязвимость в ПО для камер видеонаблюдения
100% Кирилл Каллиников/РИА «Новости» В программном обеспечении (ПО) для систем видеонаблюдения ZoneMinder обнаружена критическая уязвимость, которая позволяет злоумышленникам подглядывать за людьми через камеры, — об этом «Газете.Ru» сообщили в компании Positive Technologies. Эта уязвимость также может быть использована для взлома компаний, которые пользуются услугами ZoneMinder. Под угрозой — десятки компаний и тысячи людей.
В компьютерной программе для управления камерами наблюдения ZoneMinder кроется уязвимость, позволяющая злоумышленникам перехватывать управление над системами, где используется это ПО, сообщили «Газете.Ru» в компании Positive Technologies.
«ZoneMinder — весьма распространенное бесплатное решение для установки системы видеонаблюдения. Оно используется и дома, и в компаниях, в том числе на промышленных предприятиях», — рассказал специалист Positive Technologies, обнаруживший уязвимость, Илья Яценко.
Эксплуатируя обнаруженную уязвимость, нарушитель может войти во внутреннюю сеть компании, где находится компьютер с ZoneMinder, а также получить доступ к видеопотоку и видеоархиву с подключенных к уязвимому компьютеру камер.
Обнаруженная уязвимость получила оценку 9,1 балла из 10 по международной шкале опасности Common Vulnerability Scoring System (CVSS), что делает ее критической. Ошибка актуальна для версий ZoneMinder ниже 1.36.16, то есть всех, кроме последней.
По словам Яценко, доступ к видеоданным может обеспечить злоумышленника сведениями о режиме работы сотрудников, службы охраны и о внутреннем устройстве здания. Если ZoneMinder установлен дома, существует риск перепродажи доступа к камере в даркнете или ее включения в агрегатор систем наблюдения с открытым доступом.
«Из нее [уязвимоcти] вытекают следующие риски для конкретных людей: подглядывание за детьми, компрометирующие видео и шантаж, возможность [для злоумышленника] узнать, когда человек дома или нет», – добавил руководитель группы анализа угроз информационной безопасности Positive Technologies Вадим Соловьев.
По словам ИБ-специалистов, подглядывание и шантаж — не самое страшное.
«Как было отмечено выше, ошибка ZoneMinder позволяет удаленно запускать на компьютере код. Функции такого кода ограничиваются только фантазией злоумышленника. Им может быть, например, дополнительный модуль ПО для сбора логинов и паролей, майнер или вирус-шифровальщик», – говорит Соловьев.
Таким образом, возможность подглядывать за кем-то для хакера является скорее приятным бонусом, чем самоцелью.
В свою очередь руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев отмечает, что ZoneMinder может стать для хакеров точкой входа в инфраструктуру компании, где установлен компьютер с этим ПО. С ним согласен ведущий эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.
Он добавляет, что воплощение обсуждаемого сценария сильно затрудняет обязательное наличие прав администратора у хакера в программе ZoneMinder на атакованном компьютере.
«Если пароль в системе стойкий, то есть сложный для подбора, злоумышленнику придется найти и использовать какую-то отдельную уязвимость. Это значительно усложняет использование, ведь сначала необходимо получить учетную запись админа», – сказал он.
В Positive Technologies не отрицают наличие такого препятствия, но отмечают — в некоторых случаях администраторы позволяют подключиться к ZoneMinder и без аутентификации. Невнимательность и халатность администраторов в таких случаях нивелирует для хакера необходимость использовать дополнительные уязвимости или тратить время на подбор пароля.
В зоне риска
По данным Positive Technologies, на долю России приходится 6% от всех пользователей ZoneMinder. Таким образом, РФ занимает пятое место в рейтинге стран по этому показателю. На первом месте США (17%), на втором – Польша (15%), на третьем – Италия (11%), а четвертом – Германия и Люксембург с долями по 7%.
«Через Shodan [сервис для поиска подключенных к интернету устройств] в России видно около 50 серверов под управлением ZoneMinder. Каждый сервер – это организация. В каждой организации – десятки или даже сотни камер», – уточняет Соловьев.
Только по открытым данным в РФ, потенциально уязвимыми могут быть тысячи камер. Собеседник «Газеты.Ru» из другой российской ИБ-компании говорит, что 50 серверов – это только вершина айсберга.
«Дело в том, что ZoneMinder – это ПО с открытым исходным кодом. На его основе часто создаются коммерческие программы, которые используются компаниями, специализирующимися на установке и настройке систем видеонаблюдения. Такие модификации тоже номинально являются ZoneMinder, и на них тоже распространяется принцип действия обсуждаемой уязвимости», – объясняет он.
С экспертами не соглашается инженер Павел Краснологвинов — он работает в компании «Технопост», которая устанавливает системы наблюдения. По его мнению, ИБ-специалисты преувеличивают масштаб проблемы — несмотря на свободную форму дистрибуции, ZoneMinder не распространен ни в коммерческом секторе, ни в потребительском.
«Мне не известна ни одна компания, которая использовала бы ZoneMinder или его форк [модифицированную версию]», – говорит он.
По словам Краснологвинова, ZoneMinder в основном используется «гиками» — теми, кто предпочитают устанавливать и настраивать камеры самостоятельно. Как утверждает эксперт, на коммерческой основе компании, специализирующиеся на установке систем наблюдения, ZoneMinder или его модификации не используют — во всяком случае, публично об этом никто не заявлял.