تست امنیتی دوربین اکسیس Axis | حفاظت الکترونیک مرصاد

26 تیر, 1400

تست امنیتی دوربین اکسیس Axis

افشای کامل پژوهشگر مبنی بر آسیب پذیری امنیتی Axis که بوجود آمده است.

اما این به چه معنی است ؟ آیا اصلا وجود دارد ؟ چه کاری جهت جلوگیری از این مساله از دست شما بر می آید؟

در این گزارش، ما یافته های آزمایشگاهی خود را مبنی بر اینکه چطور قادر خواهیم بود دوربین های Axis را با استفاده از این افشاء هک کنیم ، به اشتراک گذاشتیم، به عنوان مثال نمایش ویدیویی به اضافه چه چیزی بیشترین ریسک را دارد و دارای چه محدودیت هایی هستند.

یافته های کلیدی

یافته های کلیدی ما شامل موارد زیر هستند:

واقعیت: این یک آسیب پذیری نظری یا تئوری نیست. خیلی بیشتر به ما اجازه داد که به هسته ی دوربین های مختلف Axis دسترسی داشته باشیم.

تابعی: اسکریپت python در این افشاء موثر است و بصورت کامل کار میکند. این یک توضیح مبهم یا کیفی نیست بلکه یک برنامه کاری است.

محدودیت ها: اسکریپت موجود فقط با یک دوربین مجزا در یک زمان کار میکند و نیاز به وارد کردن پلتفرم صحیح و جداگانه برای هر یک از دوربین های Axis هست که حملات روی آن انجام گرفته است. البته، یک دشمن (هکر) واقعی میتواند با برقراری حمله متناوب و چندگانه بصورت خودکار حملات خود را روی دوربین ها آغاز کند.و روی پلتفرم ها نیز این عمل را تکرار کند.

خطرات کاربردی: دسترسی به ریشه دوربین های Axis در حالت پیشفرض به ما اجازه داد از بعضی دستورات لینوکس استفاده کنیم (مانند نابود کردن جریان های ویدیویی، راه اندازی مجدد دوربین، استفاده از حلقه برای درخواست یا دانلود فایل ها، و …). ما قادر به دسترسی به فید ویدیوی زنده و بعضی توابع یا سرویس های لینوکس که هم اکنون موجود نیستند، نیستیم. در حالت پیشفرض Axis از BusyBox استفاده میکند(مجموعه ای از نوار ابزارهای یونیکس).

بدترین چیز های ممکن: ما مدیریت لینوکس و قابلیت های هک را محدود کردیم و هر زمان که ما قادر باشیم تعدادی چیزها را آسانی انجام دهیم ، ما مظنون بهتری خواهیم بود و انگیزه بیشتری برای رفع بسیاری از مشکلات داشته باشیم.

هرکجا که هستید فورا سیستم عامل دوربین Axis خود را بروزرسانی کنید. حتی اگر مطمئن هستید در اطراف تان هیچ کسی نمیتواند به دوربین ها دسترسی داشته باشد، هنوز هم این خطر وجود دارد که خرابکار(هکر) بتواند کارش را انجام دهد.

روش هک کردن

در این ویدیو ما به شما نشان می دهیم که چگونه با ارسال در خواست به صفحه وب دوربین اکسیس و ارسال بمب باران اطلاعاتی به این صفحه به نتیجه دلخواه خواهیم رسید .

علاوه بر این، یک عضو (شخص نامعلوم) قادر بود رابط وب دوربین های Axis را با استفاده از رقیب سازنده دوربین نابود کنه، که به قرار زیر هست:

پاسخی در این زمینه

آزمایش های ما نشان میده که Axis بر این باور است که “بهره برداری بسیار پیچیده است” . پژوهشگری که بر این باور بود از مهارت بسیار بالایی برخورداره که میتونیم از خواندن گزارشات و اسکریپت python به این موضوع پی ببریم.

مشکل اصلی اینه که “سخت ترین” قسمت انجام شده بود. بسیاری از مردم احتمالا یک شکلی یا تصویری از این واقعیت را برای خود تجسم میکنن اما اسکریپت ارائه شده کار بسیار آسانی برای ساختن و مسلح کردنش هست.

علاوه بر این، اگرچه ۳ روز از این افشاء میگذره، Axis هنوز آپدیت جدید خود از اسناد عمومی را ارایه نکرده است یا توضیحاتی درباره شفاف سازی این افشاء نداده. درحالی که این اسکریپت باعث آسانتر شدن کارها گردید.

دوریبن های تان را آپدیت کنید

هرکسی باید دوربین Axis خود را فورا بروزرسانی کند. این کار بسیار مهم و ضروری است چون در حال حاضر پژوهشگر در حال کار روی اسکریپتی است که در حال حاضر دایرکتوری اش آسیب پذیرهست.

[شما میتوانید برای گرفتن مشاوره و انتخاب هوشمندانه سیستم مدار بسته مطابق با نیاز های امنیتی خود از شرکت تخصصی حفاظت الکترونیک مرصاد کمک بگیرید .]

بدون نظر

ارسال نظر