CVE-2016-11021

D-Link DCS-930L Devices

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

setSystemCommand on D-Link DCS-930L devices allows a remote attacker to execute code via an OS command.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в веб-интерфейсе камеры D-Link DCS-930L (функция setSystemCommand) позволяет удаленному злоумышленнику выполнить произвольные команды операционной системы на устройстве без аутентификации. Это достигается путем отправки специально сформированного HTTP-запроса к уязвимому скрипту.

Как исправить

Основное решение — обновление прошивки. Данная модель камеры снята с производства, и официальные обновления от D-Link более не выпускаются. Последняя доступная версия прошивки, в которой, предположительно, устранена уязвимость, — 2.12.

  1. Проверьте текущую версию прошивки через веб-интерфейс камеры (обычно в разделе Setup -> System -> Firmware).
  2. Если версия ниже 2.12, скачайте последнюю доступную прошивку с официального сайта D-Link (архивные версии) по модели DCS-930L.
  3. Обновите прошивку через веб-интерфейс:
    • Перейдите в Setup -> System -> Firmware.
    • Нажмите Browse... и выберите скачанный файл прошивки (обычно с расширением .bin).
    • Нажмите Upload и дождитесь полной перезагрузки камеры.

Внимание: Если ваша версия прошивки уже 2.12, но уязвимость не была устранена, единственным безопасным решением является замена устройства на поддерживаемую модель.

Временное решение

Если немедленное обновление или замена невозможны, выполните следующие шаги для снижения риска:

  1. Полностью изолируйте камеру от сети Интернет. Убедитесь, что она доступна только из вашей внутренней (LAN) сети.

    • На маршрутизаторе удалите правила Port Forwarding для IP-адреса камеры.
    • Проверьте, что для камеры не настроены правила DMZ или UPnP, открывающие порты наружу.

  2. Ограничьте доступ к камере внутри локальной сети.

    • Настройте правила брандмауэра на маршрутизаторе или отдельном межсетевом экране, чтобы разрешить подключение к веб-интерфейсу камеры (порт 80/HTTP, порт 443/HTTPS) только с доверенных IP-адресов (например, с рабочей станции администратора).
    • Пример правила для iptables (на шлюзе Linux), запрещающего весь входящий трафик на адрес камеры 192.168.1.100, кроме трафика с адреса администратора 192.168.1.50: bash iptables -A FORWARD -d 192.168.1.100 -p tcp --dport 80 -s 192.168.1.50 -j ACCEPT iptables -A FORWARD -d 192.168.1.100 -p tcp --dport 443 -s 192.168.1.50 -j ACCEPT iptables -A FORWARD -d 192.168.1.100 -j DROP

  3. Рассмотрите возможность размещения камеры в отдельной VLAN, изолированной от основной корпоративной сети.

Важно: Эти меры лишь снижают поверхность атаки, но не устраняют саму уязвимость. Планируйте замену устройства.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей