Критическая уязвимость в системах Hikvision позволяет шпионить за пользователями

Критическая уязвимость в беспроводных мостах Hikvision в случае успешной эксплуатации позволяет хакерам получить полный контроль над затронутым устройством. Брешь в защите получила идентификатор CVE-2022-28173. Как говорят специалисты, она затронула устройства, используемые при создании систем беспроводного видеонаблюдения. Сама Hikvision описывает уязвимость как баг управления доступом.

"Веб-сервер некоторых беспроводных мостов Hikvision имеет уязвимость в управлении доступом, которая может быть использована для получения прав администратора. Получив такие права, хакер может отправлять поддельные сообщения на затронутые устройства", – говорится в сообщении компании.

Уязвимость была обнаружена компанией Redinent Innovations в августе. Hikvision выпустила исправления для нее 16 декабря. Исследователи утверждают, что уязвимость существовала из-за неправильной обработки параметров в веб-интерфейсе управления мостом.

"Злоумышленник может использовать уязвимость, отправляя поддельные сообщения на пораженные устройства. Злоумышленнику достаточно создать один веб-запрос с полезной нагрузкой размером не более 200 байт, чтобы воспользоваться уязвимостью и получить права администратора в веб-интерфейсе управления", – говорится в блоге команды Redinent.