CVE-2020-5735

Amcrest Cameras and Network Video Recorder (NVR)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Amcrest cameras and NVR contain a stack-based buffer overflow vulnerability through port 37777 that allows an unauthenticated, remote attacker to crash the device and possibly execute code.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость — переполнение буфера в стеке (stack-based buffer overflow) в сервисе, работающем на TCP-порту 37777. Атакующий может удаленно, без аутентификации, отправить специально сформированный пакет на этот порт, что приведет к: * Аварийному завершению работы устройства (DoS). * Возможному выполнению произвольного кода на устройстве с правами сервиса.

Как исправить

Основное решение — обновление прошивки. Уязвимость исправлена в следующих версиях: * Для IP-камер Amcrest: Прошивка версии 2.800.00AC005.0.R и новее. * Для сетевых видеорегистраторов (NVR) Amcrest: Прошивка версии 3.800.00AC005.0.R и новее.

Порядок действий: 1. Определите текущую версию прошивки через веб-интерфейс устройства (обычно Настройки -> Система -> Информация). 2. Скачайте актуальную прошивку с официального сайта Amcrest для вашей конкретной модели. 3. ВАЖНО: Перед обновлением создайте резервную копию конфигурации устройства. 4. Загрузите файл прошивки через раздел обновления в веб-интерфейсе (Настройки -> Система -> Обновление). 5. Дождитесь полной перезагрузки устройства.

Временное решение

Если немедленное обновление невозможно, изолируйте уязвимый сервис:

  1. Блокировка доступа на сетевом уровне (наиболее эффективно). Запретите входящие подключения к порту 37777 из ненадежных сетей (особенно из интернета) на межсетевом экране (firewall).

    • Пример правила для iptables на шлюзе: bash iptables -A FORWARD -p tcp --dport 37777 -j DROP
    • Пример правила для Windows Firewall (PowerShell от администратора): powershell New-NetFirewallRule -DisplayName "Block Amcrest Port 37777" -Direction Inbound -Protocol TCP -LocalPort 37777 -Action Block

  2. Ограничение доступа на уровне устройства. Если функционал позволяет, настройте встроенный брандмауэр устройства или список контроля доступа (ACL), чтобы разрешить соединения на порт 37777 только с доверенных IP-адресов (например, с внутренней рабочей станции администратора или сервера видеонаблюдения).

  3. Сегментация сети. Поместите все камеры и NVR в изолированную VLAN, не имеющую прямого выхода в интернет. Доступ для управления должен осуществляться только через защищенный шлюз.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей