به گزارش کارگروه امنیت سایبربان؛ محقق شرکت امنیت سایبری پازتیوتکنالجیز ایلیا یاتسِنکو دو آسیب پذیری در سیستم نرمافزاری نظارت ویدیوییِ پیشرفته زون مایندر (ZoneMinder) کشف کرد.
آسیبپذیریها در نسخه 1.36.14 زون مایندر شناسایی شدهاند. اولین و خطرناکترین آسیبپذیری با 9.1 امتیاز در مقیاس CVSS 3.0 به مهاجم امکان میدهد تا در صورت احراز هویت از طرف ادمین، اجرای کد از راه دور (RCE) را بر روی نودی که برنامه تحت وب در آن اجرا میشود، انجام دهد. درنتیجه، هکر میتواند به شبکه داخلی و پس از احراز هویت به استریم ویدیو کاربر دسترسی پیدا میکند.
ایلیا یاتسِنکو دراینباره اعلام کرد:
این یک راهحل رایگان بسیار رایج برای نصب یک سیستم نظارت تصویری است. هم در خانه و هم در شرکتها ازجمله شرکتهای صنعتی مورداستفاده قرار میگیرد. بر اساس برآوردهای ما، بیشترین تعداد کاربران نرمافزار در ایالاتمتحده، لهستان، ایتالیا، آلمان، لوکزامبورگ و روسیه مستقر هستند. در برخی موارد، ادمینها اجازه میدهند بدون احراز هویت به زون مایندر متصل شد که بسیار خطرناک است: یک مهاجم میتواند از سیستمهایی مانند شودان برای جستجوی نودهای موجود در اینترنت با زون مایندر نصبشده استفاده کند.
دومین آسیبپذیری با 4.8 امتیاز مربوط به عدمپردازش اولیه ورودی کاربر در برنامه تحت وب زون مایندر نسخه 1.36.14 است. این اشکال از نوع XSS ذخیرهشده بوده و میتواند منجر به دسترسی مهاجمان به اطلاعات محرمانه شود.
به گفته یاتسِنکو، ازجمله دلایل بروز چنین آسیبپذیریهایی میتوان به عدم دقت توسعهدهندگان هنگام نوشتن کد و استفاده از فناوریهای قدیمی (نسخههای بهروزرسانی نشده زبان) و بررسی ناکافی کدها اشاره کرد. در حال حاضر سازنده بهروزرسانی 1.36.16 را منتشر و این آسیبپذیریها را برطرف کرده است.
