D-Link Kameras: Angreifer können per ASCII-Animation spicken

CoreSecurityASCII

Netzwerkspezialist D-Link hat Sicherheitsupdates der Systemsoftware für die firmeneigenen Kameras und Router herausgegeben. Die Updates schließen vor allem Sicherheitslücken. Merkwürdiges Fundstück: Bei den Kameras lassen sich Videodaten ungeschützt abrufen und als ASCII-Animation ausgeben.

Die Schwachstellen wurden von der Firma Core Security entdeckt, in deren Advisory die verschiedenen Sicherheitslücken detailliert aufgelistet sind. So wurde der RTSP-Stream zwar mit Zugangsdaten geschützt, gleichzeitig aber eine Backdoor eingebaut, die Angreifer ausnutzen können. Außerdem ist es findigen Hackern möglich, Befehle in das Webinterface der Kameras zu injizieren.

Die schrägste Sicherheitslücke aber findet sich bei der Ausgabe des Videostreams: Da die Kameras ihre Belichtungswerte ohne Schutz über ein Skript ausgeben, lassen diese sich abrufen und als ASCII-Output wiedergeben.

[Core Security, D-Link(01), D-Link(02)], via [heise]

Tags :

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising