Többféle sebezhetőség a Foscam C1 beltéri HD kamerákban


2017. november 14. 09:58

CH azonosító

CH-14291

Angol cím

Multiple Vulnerabilities in Foscam C1 Indoor HD Cameras

Felfedezés dátuma

2017.11.12.

Súlyosság

Magas

Érintett rendszerek

Foscam

Érintett verziók

Foscam Indoor IP Camera C1 Series
System Firmware Version: 1.9.3.18
Application Firmware Version: 2.52.2.43
Plug-In Version: 3.3.0.26

Összefoglaló

A Foscam C1 Indoor HD Kamera több magas kockázatú sérülékenysége vált ismertté. Ezeket a biztonsági réseket kihasználva a támadó távoli kódfuttatást végezhet az érintett eszközökön, valamint  káros firmwaret tölthet fel azokra, és ezáltal teljes mértékben átveheti az eszközök irányítását.

Leírás

A Foscam C1 Indoor HD Kamera biztonsági rései:

  • Foscam IP videokamera webService oray.com DDNS kliens kódfuttatást okozó biztonsági rése (TALOS-2017-0357 / CVE-2017-2854)
  • Foscam IP videokamera webService 3322.net DDNS kliens kódfuttatást okozó biztonsági rése (TALOS-2017-0358 / CVE-2017-2855)
  • Foscam IP videokamera webService dyndns.com DDNS kliens kódfuttatást okozó biztonsági rése (TALOS-2017-0359 / CVE-2017-2856)
  • Foscam IP videokamera webService 9299.org DDNS kliens kódfuttatást okozó biztonsági rése (TALOS-2017-0360 / CVE-2017-2857)
  • Foscam IP videokamera CGIProxy.fcgi Firmware frissítés nem hitelesített kép sebezhetőség (TALOS-2017-0379 / CVE-2017-2872)
  • Foscam IP videokamera CGIProxy.fcgi SoftAP konfigurációs command injection biztonsági rése (TALOS-2017-0380 / CVE-2017-2873)
  • Foscam IP videokamera devMng 10000-es port 0x0000 parancsának információ megjelenítési biztonsági rése (TALOS-2017-0381 / CVE-2017-2874)
  • Foscam IP videó kamera devMng 10000-es port 0x0002 parancsának felhasználónév mezőben történő kód futtatás biztonsági rése (TALOS-2017-0382 / CVE-2017-2875)
  • Foscam IP videó kamera devMng 10000-es port 0x0002 parancsának jelszó mezőben történő kód futtatás biztonsági rése (TALOS-2017-0383 / CVE-2017-2876)
  • Foscam IP videó kamera devMng 10001-es port 0x0064 parancsának üres AuthResetKey biztonsági rése (TALOS-2017-0384 / CVE-2017-2877)
  • Foscam IP videokamera CGIProxy.fcgi logOut kódfuttatásának biztonsági rése (TALOS-2017-0385 / CVE-2017-2878)
  • Foscam IP videokamera UPnP deiscovery kódfuttatást lehetővé tevő biztonsági rése (TALOS-2017-0386 / CVE-2017-2879)

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Command Injection
Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
execute arbitrary code

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: blog.talosintelligence.com
CVE-2017-2854 - NVD CVE-2017-2854
CVE-2017-2855 - NVD CVE-2017-2855
CVE-2017-2856 - NVD CVE-2017-2856
CVE-2017-2857 - NVD CVE-2017-2857
CVE-2017-2872 - NVD CVE-2017-2872
CVE-2017-2873 - NVD CVE-2017-2873
CVE-2017-2874 - NVD CVE-2017-2874
CVE-2017-2875 - NVD CVE-2017-2875
CVE-2017-2876 - NVD CVE-2017-2876
CVE-2017-2877 - NVD CVE-2017-2877
CVE-2017-2878 - NVD CVE-2017-2878
CVE-2017-2879 - NVD CVE-2017-2879

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »