June 14, 2022

Уязвимости в тепловизионных камерах InfiRay ставят под угрозу промышленные процессы

Уязвимости были обнаружены фирмой SEC Consult еще в феврале 2021 года.

SEC Consult раскрыла подробности об уязвимостях в письме во вторник. По мнению компании, уязвимости являются прямым следствием небезопасного кода, конфигурации и устаревших программных компонентов встроенной микропрограммы.

SEC Consult также обнаружила несколько векторов атак, которые могут позволить злоумышленникам удаленно выполнять вредоносный код.

InfiRay – китайский производитель оптических компонентов, в основном занимающийся инфракрасными и тепловизионными решениями. Продукция компании продается в 89 странах и регионах по всему миру.

Так как решения компании широко распространены, обнаруженные в них уязвимости могут стать точкой входа в промышленные системы управления (I CS) и сети диспетчерского контроля и сбора данных ( SCADA).

Специалисты из SEC Consult смогли обнаружить пять критических уязвимостей, затрагивающих камеры Infiray IRAY-A8Z3:

  1. Жестко закодированные учетные данные в веб-приложении камеры. Так как их нельзя изменить или деактивировать, эксперты посчитали их бэкдором.
  2. Интерфейс веб-сервера камеры содержит конечную точку, через которую злоумышленник может выполнять произвольные команды, манипулируя параметром URL "cmd_string". Это позволяет хакеру войти в систему, используя жестко закодированные учетные данные.
  3. Возможность атаки с переполнением буфера, которую можно провести с помощью вызова функции strcpy() без предварительной проверки длины строки.
  4. Любой пользователь, оказавшийся в одной локальной сети с камерой, может выполнять произвольные команды от имени суперпользователя.
  5. Камеры имеют несколько устаревших программных компонентов, содержащих в себе уязвимости.

В ходе своего расследования, SEC Consult несколько раз пыталась связаться с InfiRay, отправив им письмо с рекомендациями в апреле 2021 года. Однако производитель производитель оптических компонентов так и не ответил на ее запросы.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!