باگ های کشف شده در دستگاه های DVR

یک محقق آرژانتینی برای ایجاد دسترسی به دوربین های مداربسته و دوربین های تحت شکبه ابزاری را با شناسه ی CVE-217-9995 منتشر کرده است. این باگ کشف شده این امکان را برای هکر فراهم میکند که فرایند احراز هویت کاربر را در سرویس وب دستگاه های DVR دور بزند و بدون احراز هویت به تمامی سرویس های ارائه شده دسترسی پیدا کند.

هکر با ارسال یک درخواست HTTP و قرار دادن مقدار ” کد مورد نظر” در ابتدای درخواست ارسالی دستگاه که در پاسخ این درخواست اطلاعات محرمانه ی حساب کاربری Admin به همراه رمز عبور را میتواند هکر دریافت کنید.  و متاسفانه این اطلاعات به صورت رمز گذاری نشده ارسال شده و هکر یا حمله کنند به راحتی میتواند به حساب مدیر دستگاه DVr متصل شود!!!!

دستگاه هایی که این باگ در این دستگاه ها مشاهده شده است

Novo

CeNova

QSee

Pulnix

XVR 5 in 1 Securus

Night OWL

DVR Login

HVR Login

MDVR Login

البته باید توجه داشت که برند های آسیب پذیر در ایران رایج نیستند اما لازم است با توجه به آسیب پذیری جدی که دستگاه های DVR با آنها روبه رو شده اند تا حد امکان دوربین های تحت شبکه را از در دسترس قرار دادن داخل اینترنت خودداری نمایید و یا در صورتی که مجبور به استفاده از وب هستین این سرویس را به Ip های مشخصی محدود کنید.

کارشناسان رایانه کمک شما را در این امر یاری خواهند کرد.