ช่องโหว่กว่าสิบรายการในกล้องวงจรปิดของบริษัท Zavio ยังไม่ได้รับการแก้ไข

408/66 (IT) ประจำวันศุกร์ที่ 8 กันยายน 2566

BugProve ผู้ให้บริการแพลตฟอร์มการวิเคราะห์ firmware IoT ได้เปิดเผยรายละเอียดของช่องโหว่กว่าสิบรายการที่พบในกล้องวงจรปิดของ Zavio ซึ่งเป็นบริษัทสัญชาติจีนที่ได้ปิดกิจการแล้ว แต่มีรายงานว่ากล้องวงจรปิดดังกล่าวยังมีการใช้งานอยู่ในสหรัฐอเมริกาและยุโรป เนื่องจาก Zavio ถูกปิดตัวลง BugProve จึงร่วมกับ CCTV Camera Pros ที่เป็นผู้จัดจำหน่ายหลักของกล้อง Zavio ในอเมริกาได้ทำการตรวจสอบช่องโหว่และรายงานให้ US Cybersecurity and Infrastructure Security Agency (CISA) เพื่อเปิดเผยข้อมูลและระบุ CVE สำหรับช่องโหว่

จากข้อมูลของบริษัทพบว่าช่องโหว่จำนวนเจ็ดรายการสามารถถูกนำไปใช้ remote code execution ที่ไม่ได้รับการรับรองความถูกต้องด้วยสิทธิ์ root โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์จากกล้อง IP แต่ทั่วไปแล้ว กล้อง IP ส่วนใหญ่ตกเป็นเป้าหมายของ botnet และนำไปใช้ DDoS หรือการโจมตีอื่นๆ โดยที่ CISA ได้กำหนด CVE identifiers เพียงสองตัวได้แก่ CVE-2023-4249 และ CVE-2023-3959 เนื่องจากช่องโหว่เกิดจากปัญหาหลักเดียวกัน

เนื่องจากกล้อง Zavio จะได้รับผลกระทบเพราะไม่ได้มีการแพตช์เพื่อแก้ไข ผู้ใช้งานจึงควรเปลี่ยนอุปกรณ์เพื่อป้องกันการตกเป็นเหยื่อของการโจมตีจากผู้ไม่หวังดี ซึ่งผู้เชี่ยวชาญด้านกล้องวงจรปิดได้กำลังแจ้งให้ลูกค้าทราบว่ากล้อง Zavio จะไม่มีจำหน่ายอีกต่อไป และแนะนำทางเลือกอื่น

แหล่งข่าว ( https://www.securityweek.com/dozens-of-unpatched-flaws-expose-security-cameras-made-by-defunct-company-zavio/ )