Globalna cyber security istraživačka kompanija VDOO otkrila je kritičan bezbednosni propust u Bosch IP kamerama. Ova cyber ranjivost rangirana je ocenom 9.4 od ukupno 10, obzirom da omogućuje daljinsko izvršavanje koda preko bafera.
Kritična bezbednosna cyber ranjivost otkrivena u Bosch IP kamerama.
VDOO 2018 otkrio cyber ranjivost Bosch IP kamera
Cyber security istraživačka kompanija VDOO je otkrila ranjivost u Bosch IP kamerama. Dostupni su postali detalji ove cyber ranjivosti, uticaj koji je ovaj bezbednosni propust na Bosch kamerama imao na tržištu, kao i odgovor kompanije Bosch na otkrivene bezbednosne propuste u Bosch kamerama.
Bosch IP kamere i cyber-security kritična ranjivost
Ranjivost je rangirana sa 9.4 od 10 jer omogućuje neovlašćeno daljinsko izvršavanje koda preko bafera, što utiče na Bosch IP kamere, počevši sa onima koje imaju firmware 6.32, ali je već sa firmware-om 6.60 ova ranjivost otklonjena. Precizni detalji o ranjivosti još uvek nisu objavljeni. VDOO je naveo da kompanija nije odlučila da li će i kada će objaviti dokaze ovog koncepta. Nacionalna baza cyber ranjivosti National Vulnerability Database još uvek čeka detalje da ažurira svoju CVE bazu podataka.
Da bi se iskoristila ova ranjivost potreban je pristup mreži. Za otkrivanje ovog propusta potrebno je intimno znanje o radu Bosch firmware-a, kao i sofisticirane veštine za iskorišćavanje ove cyber ranjivosti. Trenutno nisu poznati slučajevi eksploatacije uređaja.
Bosch kamere treba da se ažuriraju na najnoviji firmware (6.60), koji uklanja ovu ranjivost. Ovaj bezbednosni propust u Bosch IP kamerama uveden je u novembru 2016-te godine a verzije firmware-a pre verzije 6.32 nisu ugrožene. Uređaji koji koriste autentifikaciju na bazi sertifikata nisu ugroženi (detalji u Bosch-ovom Security Advisory), iako je mnogo složenije od jednostavnog ažuriranja firmware, a i većina korisnika ne koristi sertifikate.
Reakcija kompanije Bosch
Bosch je objavio Security Advisory izveštaj o ovom incidentu, tehničke detalje, kao i rešenje problema. Bosch je takođe objavio i ažurirani firmware koji uklanja ovu cyber ranjivost, a tvrde da su obavestili i svoj prodajni kanal o ovom bezbednosnom propustu, kako bi što efikasnije uputili partnere i kupce na postojeći problem. Bosch je ovom prilikom dao i sledeću informaciju: “Objavili smo višestruke FW verzije (6.51.0028, 6.50.0133, 6.44.0027) tako da naši kupci nisu primorani da migriraju na više FW verzije, koje inače u nekim slučajevima mogu dovesti do dodatnih napora pri testiranju/integraciji sa VMS-om.”
Sektor državnih kupaca i Bosch
Pretragom različitih CVE registara za sada nema drugih bezbednosnih propusta na Bosch IP kamerama.
I dok je ovo prva otkrivena ranjivost Bosch IP kamera i sasvim je jasno koliko je teško iskoristiti ovu ranjivost, Bosch kamere se najčešće koriste u visoko-sigurnosnim aplikacijama u državnim institucijama i organizacijama, što ovom proizvođaču donosi veliku odgovornost kako bi se osiguralo da u budućnosti ne postoje cyber ranjivosti opreme, kao ni bezbednosni propusti u Bosch solucijama.
