IDIS: Кибербезопасность имеет значение

15 Января 2019
В конце 2018 года были обнаружены критические уязвимости в системе безопасности IP-видеокамер Bosch. Механизм действия уязвимости CVE-2018-19036 потенциально допускает несанкционированное удаленное выполнение кода на устройстве через сетевой интерфейс, генерируя переполнение буфера в парсере RCP+ и на веб-сервере. То есть, потенциальный злоумышленник, подключившись через сетевой доступ по протоколу HTTP или HTTPS, сможет вызвать переполнение буфера и затем обойти ограничения доступа, например логин и пароль пользователя, либо повторно активировать отключенные функции видеокамеры. Соответственно, это оценивается как уязвимость «CWE-120: буферное копирование без проверки размера входных данных». Это значит, что размер буфера меньше размера входного буфера, что приводит к переполнению буфера и потенциально может быть использовано для выполнения произвольного кода, обычно не охваченного предполагаемой политикой безопасности программы. Также переполнение буфера приводит к сбоям. Возможны и другие атаки, которые могут привести к недоступности, например ввод программы в бесконечный цикл.

"Компания IDIS рассматривает сетевую безопасность как серьезную проблему, поэтому большинство модулей сетевых служб являются проприетарными. Это именно тот случай, когда HTTP-сервер и клиентские модули, используемые в большинстве продуктов IDIS защищены от различных уязвимостей, включая уязвимость CWE-120. В частности, продукты IDIS используют динамическое распределение памяти и строго проверяют входные данные, такие как HTTP URI для предотвращения ошибки переполнения буфера, — комментирует руководитель службы технической поддержки IDIS Russia Юрий Цывинский. — Кроме того, уязвимость CVE-2018-19036 не распространяется на наши продукты, поскольку анализатор RCP + не используется в IDIS".

"Однако IDIS Solution Suite WebViewer, поддерживаемый из IDIS Solution Suite v.2.9.0 или более поздней версии, использует Apache 2.2.25 в качестве веб-сервера, который имеет уязвимость, приводящую к переполнению буфера. Сервер Apache устанавливается и активируется, только когда установлен модуль WebViewer", — уточнил Ю. Цывинский.

Компания IDIS выделяет большое количество ресурсов для разработки новых технологий и использует запатентованные протоколы, гарантирующие сетевую безопасность. В компании есть специальный департамент разработки и аналитики, специализирующийся на данном вопросе. Сейчас IDIS рассматривает вопрос о применении собственного HTTP-сервера вместо веб-сервера Apache для IDIS Solution Suite.

Если у вас есть вопросы или проблемы, связанные с сетевой безопасностью, пожалуйста, свяжитесь с IDIS по электронной почте support@idisglobal.ru
отдел маркетинга и PR
IDIS
+7 (495) 369-25-20
pr@idisglobal.ru
читать полностью