О Компании Новости IDIS 2019 IDIS: Кибербезопасность имеет значение

IDIS: Кибербезопасность имеет значение

10 января 2019 г.

В конце 2018 года были обнаружены критические уязвимости в системе безопасности IP-видеокамер Bosch. Механизм действия уязвимости CVE-2018-19036 потенциально допускает несанкционированное удаленное выполнение кода на устройстве через сетевой интерфейс, генерируя переполнение буфера в парсере RCP+ и на веб-сервере. То есть, потенциальный злоумышленник, подключившись через сетевой доступ по протоколу HTTP или HTTPS, сможет вызвать переполнение буфера и затем обойти ограничения доступа, например логин и пароль пользователя, либо повторно активировать отключенные функции видеокамеры. Соответственно, это оценивается как уязвимость «CWE-120: буферное копирование без проверки размера входных данных». Это значит, что размер буфера меньше размера входного буфера, что приводит к переполнению буфера и потенциально может быть использовано для выполнения произвольного кода, обычно не охваченного предполагаемой политикой безопасности программы. Также переполнение буфера приводит к сбоям. Возможны и другие атаки, которые могут привести к недоступности, например ввод программы в бесконечный цикл.

"Компания IDIS рассматривает сетевую безопасность как серьезную проблему, поэтому большинство модулей сетевых служб являются проприетарными. Это именно тот случай, когда HTTP-сервер и клиентские модули, используемые в большинстве продуктов IDIS защищены от различных уязвимостей, включая уязвимость CWE-120. В частности, продукты IDIS используют динамическое распределение памяти и строго проверяют входные данные, такие как HTTP URI для предотвращения ошибки переполнения буфера, — комментирует руководитель службы технической поддержки IDIS Russia Юрий Цывинский. — Кроме того, уязвимость CVE-2018-19036 не распространяется на наши продукты, поскольку анализатор RCP + не используется в IDIS".

"Однако IDIS Solution Suite WebViewer, поддерживаемый из IDIS Solution Suite v.2.9.0 или более поздней версии, использует Apache 2.2.25 в качестве веб-сервера, который имеет уязвимость, приводящую к переполнению буфера. Сервер Apache устанавливается и активируется, только когда установлен модуль WebViewer", — уточнил Ю. Цывинский.

Компания IDIS выделяет большое количество ресурсов для разработки новых технологий и использует запатентованные протоколы, гарантирующие сетевую безопасность. В компании есть специальный департамент разработки и аналитики, специализирующийся на данном вопросе. Сейчас IDIS рассматривает вопрос о применении собственного HTTP-сервера вместо веб-сервера Apache для IDIS Solution Suite.

Если у вас есть вопросы или проблемы, связанные с сетевой безопасностью, пожалуйста, свяжитесь с IDIS по электронной почте support@idisglobal.ru

 

Источники:

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19036

[2] https://cwe.mitre.org/data/definitions/120.html

[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7679

[4] https://media.boschsecurity.com/fs/media/pb/security_advisories/bosch-2018-1202-bt-cve-2018- 19036_security_advisory_ip_camera_vulnerability.pdf

[5] https://st-tpp.resource.bosch.com/media/technology_partner_programm/10_public/downloads_1/video_8/ documents_1/rcp_commands_for_advanced_integration_package_2013-11-08.pdf