В сравнении: IDIS: Кибербезопасность имеет значение
10 января 2019 г.
В конце 2018 года были обнаружены критические уязвимости в системе безопасности IP-видеокамер Bosch. Механизм действия уязвимости CVE-2018-19036 потенциально допускает несанкционированное удаленное выполнение кода на устройстве через сетевой интерфейс, генерируя переполнение буфера в парсере RCP+ и на веб-сервере. То есть, потенциальный злоумышленник, подключившись через сетевой доступ по протоколу HTTP или HTTPS, сможет вызвать переполнение буфера и затем обойти ограничения доступа, например логин и пароль пользователя, либо повторно активировать отключенные функции видеокамеры. Соответственно, это оценивается как уязвимость «CWE-120: буферное копирование без проверки размера входных данных». Это значит, что размер буфера меньше размера входного буфера, что приводит к переполнению буфера и потенциально может быть использовано для выполнения произвольного кода, обычно не охваченного предполагаемой политикой безопасности программы. Также переполнение буфера приводит к сбоям. Возможны и другие атаки, которые могут привести к недоступности, например ввод программы в бесконечный цикл.
"Компания IDIS рассматривает сетевую безопасность как серьезную проблему, поэтому большинство модулей сетевых служб являются проприетарными. Это именно тот случай, когда HTTP-сервер и клиентские модули, используемые в большинстве продуктов IDIS защищены от различных уязвимостей, включая уязвимость CWE-120. В частности, продукты IDIS используют динамическое распределение памяти и строго проверяют входные данные, такие как HTTP URI для предотвращения ошибки переполнения буфера, — комментирует руководитель службы технической поддержки IDIS Russia Юрий Цывинский. — Кроме того, уязвимость CVE-2018-19036 не распространяется на наши продукты, поскольку анализатор RCP + не используется в IDIS".
"Однако IDIS Solution Suite WebViewer, поддерживаемый из IDIS Solution Suite v.2.9.0 или более поздней версии, использует Apache 2.2.25 в качестве веб-сервера, который имеет уязвимость, приводящую к переполнению буфера. Сервер Apache устанавливается и активируется, только когда установлен модуль WebViewer", — уточнил Ю. Цывинский.
Компания IDIS выделяет большое количество ресурсов для разработки новых технологий и использует запатентованные протоколы, гарантирующие сетевую безопасность. В компании есть специальный департамент разработки и аналитики, специализирующийся на данном вопросе. Сейчас IDIS рассматривает вопрос о применении собственного HTTP-сервера вместо веб-сервера Apache для IDIS Solution Suite.
Если у вас есть вопросы или проблемы, связанные с сетевой безопасностью, пожалуйста, свяжитесь с IDIS по электронной почте support@idisglobal.ru
Источники:
[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19036
[2] https://cwe.mitre.org/data/definitions/120.html
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7679
