IDIS: Мы рассматриваем кибербезопасность как серьезную проблему

Logo

Последние месяцы прошедшего года выявили критические уязвимости в обеспечении кибербезопасности IP оборудования Bosch. Механика функционирования уязвимости CVE-2018-19036 позволяет несанкционированно, в обход системы защиты, запустить исполняемый код с удаленного компьютера от имени ПО камеры с правами пользователя.

14 января 2019г

Потенциально скрипт провоцирует переполнение буфера в парсере RCP+ и на HTTP сервере, чтобы обойти верификацию, условия и урезанные права доступа, которые действуют при отсутствии идентификационных данных подключения (имени пользователя, пароля). С помощью эксплойта также можно подключать функции, ранее отключенные или запрещенные для работы на конкретном устройстве. Для соединения злоумышленники могут использовать протоколы HTTP или HTTPS.

Уязвимость классифицируется как CWE-120

Объем буфера изначально ниже, чем у области памяти, которая отвечает за прием входных данных. Эта ситуация ведет к:

  • программным сбоям;
  • переполнению буфера, несанкционированному получению возможности удаленного запуска скрипта, который не провоцирует запуск системы безопасности;
  • атакам, препятствующим корректной работе оборудования и видимости камер в сети. Например, ввод ПО оборудования в бесконечный цикл.

По словам Юрия Цывинского, руководителя службы техподдержки IDIS, компания серьезно относится к защите данных и противодействию несанкционированному проникновению в систему видеонаблюдения. Программные продукты, которые концерн разрабатывает, распространяются на платной основе. Это дает возможность обеспечить качественную защиту от большинства негативных факторов и уязвимостей, в том числе CWE-120. Система IP защиты работает как на модулях, установленных на стороне пользователя, так и на веб-серверах производителя. В основу политики безопасности заложено перераспределение памяти с изменением объема, многоуровневая верификация информации, которая поступает по протоколу HTTPS и подобным. Цель мероприятий – защита от переполнения буфера. "Уязвимость CVE-2018-19036 не распространяется на наши продукты, поскольку анализатор RCP + не используется в IDIS", – заявил руководитель.

Специалист отмечает, что уязвимость с переполнением буфера имеют веб-сервера Apache, в частности программное обеспечение v.2.2.25, которое инсталлируется и ставится по умолчанию для IDIS Solution Suite WebViewer, который входит в пакет IDIS Solution Suite v.2.9.0 и старше.

IDIS затрачивает значительные материальные и людские ресурсы на исследование проблем, инновации и использование патентованных протоколов, которые гарантируют защиту IP оборудования. В компании, вопросами защиты и противодействия несанкционированному доступу, занимается департамент разработки и аналитики. Отдел, в числе прочих, курирует направление создания и внедрения своего веб-сервера. Вопрос о переходе на собственную разработку, вместо уязвимого программного продукта Apache, всерьез рассматривает руководство компании.


IDIS: Мы рассматриваем кибербезопасность как серьезную проблему