„Axis“ IP kamera. IPCam
Pasak a saugumo patarimas „Axis Communications“ paskelbė ID ACV-128401, „Axis Camera“ tinkle buvo aptikti 7 pažeidžiamumai, kurie leidžia nuotoliniu būdu vykdyti komandas. Pažeidimams buvo priskirtos CVE etiketės; jie yra: CVE-2018-10658 , CVE-2018-10659 , CVE-2018-10660 , CVE-2018-10661 , CVE-2018-10662 , CVE-2018-10663 ir CVE-2018-10664 . CVE-2018-10658 gali sukelti atminties sugadinimo problemą keliuose „Axis“ IP kamerų modeliuose, dėl kurių atsisakoma atsakyti į paslaugą. CVE-2018-10659 sprendžiama kita atminties sugadinimo problema, sukelianti DoS gedimą, siunčiant sukurtą komandą, kuri primena UND nenustatytą ARM instrukciją. CVE-2018-10660 aprašomas „shell“ komandos injekcijos pažeidžiamumas. CVE-2018-10661 aprašytas prieigos valdymo pažeidžiamumas. CVE-2018-10662 aprašomas neapsaugotas sąsajos pažeidžiamumas. CVE-2018-10663 aprašoma neteisinga dydžio skaičiavimo problema sistemoje. Galiausiai CVE-2018-10664 aprašoma bendra „Axis“ IP kamerų modelių httpd proceso atminties sugadinimo problema.
Pažeidžiamumas nebuvo išanalizuotas CVE MITER dar ir vis dar laukia CVSS 3.0 laipsnių, tačiau „Axis“ praneša, kad naudojant kartu, keliama rizika yra kritinė. Pagal paskelbtoje ataskaitoje pateiktą rizikos vertinimą užpuolikas turi įgyti tinklo prieigą prie įrenginio, kad galėtų išnaudoti pažeidžiamumą, tačiau jam nereikia jokių įgaliojimų, kad galėtų pasiekti šią prieigą. Pagal vertinimą, prietaisai yra rizikuojami proporcingai jų poveikiui. Į internetą nukreiptiems įrenginiams, veikiamiems per maršrutizatoriaus prievadą į priekį, kyla didelė rizika, kur saugomo vietinio tinklo įrenginiai yra palyginti mažesnio išnaudojimo rizika.
„Axis“ pateikė visą sąrašą paveikti produktai ir taip pat išleido a pleistro atnaujinimas firmware, į kurią vartotojai raginami atnaujinti, kad būtų išvengta šių pažeidžiamumų naudojimo. Be to, vartotojams taip pat rekomenduojama netaikyti savo prietaisų tiesiogiai interneto prievadų persiuntimo sąrankai ir patariama naudoti AXIS kompanionas „Windows“, „Android“ ir „iOS“ programa, užtikrinanti saugią prieigą prie filmuotos medžiagos nuotoliniu būdu. Taip pat siūloma vidinė IP lentelė, naudojant IP filtravimo programą, siekiant prevenciškai sumažinti būsimų tokių pažeidžiamumų riziką.
![[FIXED] Nepavyko tvirtinti: „Array_Count“ arkoje](https://jf-balio.pt/img/how-tos/47/assertion-failed.png)
