ทีมวิจัยของบริษัท VDOO ผู้ผลิตระบบรักษาความมั่นคงปลอดภัยในคอมพิวเตอร์ขนาดเล็ก รายงานถึงช่องโหว่ของซอฟต์แวร์ในกล้องวงจรปิด Axis จำนวน 7 รายการ ส่งผลให้แฮกเกอร์สามารถเข้ายึดกล้องผ่านเครือข่าย เข้าควบคุมซอฟต์แวร์ได้ทั้งหมดรวมถึงการดูภาพวงจรปิด

การเข้ายึดกล้องใช้ช่องโหว่ซ้อนกัน ได้แก่

1. ส่งคำสั่งทะลุ Apache HTTP Server โดยไม่ต้องยืนยันตัวตนว่ามีสิทธิ์ (CVE-2018-10661) ทำให้คำสั่งทะลุจาก httpd เข้าไปยังโปรเซส ssid ภายในที่รันด้วยสิทธิ์ root
2. ส่งคำสั่งผ่าน dbus เข้าไปยัง PolicyKitParhand เพื่อตั้งค่าพารามิเตอร์ (CVE-2018-10662)
3. ยิง shell injection เพื่อเปิด shell ในสิทธิ์ root ผ่านโปรเซส parhand

ทาง Axis ออกแพตช์ให้กับกล้องทุกรุ่นที่ได้รับผลกระทบแล้ว ตรวจสอบรายชื่อกล้องได้ในเอกสาร ACV-128401 พร้อมกับตรวจสอบดูว่าเฟิร์มแวร์เป็นรุ่นที่ได้ไขปัญหาแล้วหรือยัง ได้ตามเอกสาร หากมีกล้องในความดูแลจำนวนมากอาจต้องจัดการด้วย Axis Device Manager

ทาง VDOO ขอบคุณ Axis ที่ตอบรายงานนี้อย่างรวดเร็ว อย่างไรก็ดีทีมงานชี้ประเด็นที่ผู้ผลิตควรแก้ไข เช่น ไม่ยอมแยกสิทธิ์ให้กับโปรเซสเท่าที่จำเป็น โดยโปรเซส ssid นั้นรันด้วยสิทธิ์ root, ไม่มีการตรวจสอบอินพุตอย่างละเอียด, และยังใช้ shell script เพื่อรับอินพุตจากผู้ใช้

ที่มา - VDOO