Дата премьеры системы: | 2002/09 |
Дата последнего релиза: | 2022/06 |
Технологии: | Системы видеонаблюдения |
Основная статья: Открытое программное обеспечение (Open Source)
ZoneMinder — свободное программное обеспечение для организации видеонаблюдения, распространяемое под лицензией GNU GPL.
2022: Уязвимости в системе видеонаблюдения ZoneMinder 1.36.14
28 июня 2022 года компания Positive Technologies сообщила о том, что их сотрудник Илья Яценко обнаружил две уязвимости в системе видеонаблюдения с открытым исходным кодом ZoneMinder. Продукт применяется для построения корпоративных охранных систем и установки домашнего видеонаблюдения. Производитель выпустил обновление 1.36.16, устраняющее эти уязвимости.
Проблемы выявлены в ZoneMinder версии 1.36.14. Первая и наиболее опасная уязвимость (9,1 балла по шкале CVSS 3.0) позволяет злоумышленнику при аутентификации от имени администратора выполнить удаленное выполнение кода (RCE) на узле, где запущено веб-приложение. В результате нарушитель может получить доступ во внутреннюю сеть. Кроме того, после аутентификации атакующий получает доступ к видеопотоку.
«Это распространенное бесплатное решение для установки системы видеонаблюдения. Оно используется и дома, и в компаниях, в том числе на промышленных предприятиях. Согласно нашим оценкам, наибольшее число пользователей ПО — в США, Польше, Италии, Германии, Люксембурге и России. В некоторых случаях администраторы позволяют подключиться к ZoneMinder без аутентификации, что весьма опасно: злоумышленник может воспользоваться такими системами, как Shodan, для поиска доступных в интернете узлов с установленным ZoneMinder», рассказал Илья Яценко |
Доступ к видеоданным может обеспечить злоумышленника сведениями о режиме работы сотрудников, службы охраны и о внутреннем устройстве здания. Если ZoneMinder установлен дома, существует риск перепродажи доступа в даркнете или включения системы видеонаблюдения в каталоги незащищенных видеокамер, к примеру Insecam. Сервис был создан для демонстрации важности настроек безопасности, но также может быть использован преступниками.TAdviser Security 100: Крупнейшие ИБ-компании в России
Вторая уязвимость (4,8 балла по шкале CVSS 3.0) связана с отсутствием предварительной обработки пользовательского ввода в веб-приложении ZoneMinder 1.36.14. Она относится к типу «Хранимая XSS» и может привести к получению злоумышленниками доступа к конфиденциальной информации, например сессий пользователей, на узле, где запущено веб-приложение.
По словам исследователя, среди причин появления подобных уязвимостей может быть как невнимательность разработчиков при написании кода, так и использование устаревших технологий (необновленных версий языка) и недостаточно тщательное проведение код-ревью.
Своевременно определять попытки эксплуатации уязвимости в сети поможет анализ трафика — продукты класса NTA (network traffic analysis) и промышленного NTA, например PT Network Attack Discovery (PT NAD).
Подрядчики-лидеры по количеству проектов
Ростелеком (53)
VizorLabs (Визорлабс) (41)
Вокорд (Vocord) (38)
ВидеоМатрикс (Videomatrix) (26)
ЭР-Телеком Холдинг (Дом.ру) (22)
Другие (760)
ВидеоМатрикс (Videomatrix) (7)
Ростелеком (7)
VizorLabs (Визорлабс) (5)
Талмер (Talmer) (4)
ЭР-Телеком Холдинг (Дом.ру) (3)
Другие (65)
VizorLabs (Визорлабс) (11)
ВидеоМатрикс (Videomatrix) (7)
Мобильные ТелеСистемы (МТС) (5)
Nord Clan (Норд Клан) (4)
НИИПТ Растр — Научно-исследовательский институт промышленного телевидения (4)
Другие (46)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Вокорд (Vocord) (12, 43)
VizorLabs (Визорлабс) (8, 40)
ВидеоМатрикс (Videomatrix) (16, 27)
Ростелеком (7, 27)
ЭЛВИС-НеоТек (12, 18)
Другие (651, 316)
ВидеоМатрикс (Videomatrix) (7, 7)
Ростелеком (4, 6)
Hikvision (Хиквижн) (3, 5)
VizorLabs (Визорлабс) (2, 5)
ISS (Intelligent Security Systems) Интеллектуальные системы безопасности (2, 3)
Другие (12, 17)
VizorLabs (Визорлабс) (7, 11)
ВидеоМатрикс (Videomatrix) (6, 7)
Департамент здравоохранения города Москвы (1, 2)
Nord Clan (Норд Клан) (1, 2)
НИИПТ Растр — Научно-исследовательский институт промышленного телевидения (1, 2)
Другие (12, 12)
VizorLabs (Визорлабс) (4, 13)
Технологии безопасности дорожного движения (ТБДД) (1, 3)
Nord Clan (Норд Клан) (1, 2)
Softlogic (Софтлоджик Рус) (1, 2)
НИИПТ Растр — Научно-исследовательский институт промышленного телевидения (1, 2)
Другие (8, 10)
Nord Clan (Норд Клан) (1, 3)
ЭЛВИС-НеоТек (2, 1)
Группа компаний ЦРТ (Центр речевых технологий) (1, 1)
Искра Технологии (1, 1)
VizorLabs (Визорлабс) (1, 1)
Другие (1, 1)
Распределение систем по количеству проектов, не включая партнерские решения
Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 24
ИСБ Eselta - 16
Vocord Traffic - 16
ЦРТ: Визирь - 15
Vocord FaceControl - 13
Другие 386
Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 4
Hikvision HikCentral - 3
Nord Clan: RDetector - 3
Ростелеком: Умный дом Видеонаблюдение - 3
Pelco by Schneider Electric VMS-комплекс VideoXpert для систем видеонаблюдения - 2
Другие 26
Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 6
Nord Clan: RDetector - 2
Vmx SILA: HSE - 2
НИИПТ Растр: Цифровые термостойкие системы видеонаблюдения - 2
Сервис круглосуточного видеонаблюдения за новорожденными онлайн - 2
Другие 21