CVE-2021-40407

Reolink RLC-410W IP Camera

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-12-18

Официальное описание

Reolink RLC-410W IP cameras contain an authenticated OS command injection vulnerability in the device network settings functionality.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-40407 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд операционной системы) в прошивке IP-камер Reolink RLC-410W. Проблема локализована в API-интерфейсе, отвечающем за настройку сетевых параметров устройства.

Уязвимость возникает из-за недостаточной фильтрации входных данных в параметрах JSON-запросов. Авторизованный злоумышленник (имеющий доступ к учетной записи с правами администратора или оператора) может внедрить специальные символы в значения сетевых настроек. Это позволяет выполнить произвольный код в контексте операционной системы камеры с правами root, что ведет к полному компрометации устройства, краже видеопотока или использованию камеры как плацдарма для атаки на внутреннюю сеть.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление микропрограммы (firmware) устройства до версии, в которой производитель исправил механизмы валидации входных данных.

  1. Перейдите в центр загрузок на официальном сайте Reolink.
  2. Найдите модель RLC-410W. Убедитесь, что вы выбрали правильную аппаратную ревизию (Hardware Version), так как прошивки не взаимозаменяемы.
  3. Скачайте последнюю доступную версию прошивки (версия должна быть выше v3.0.0.660).
  4. Распакуйте архив с файлом .pak.
  5. Зайдите в веб-интерфейс камеры или используйте Reolink Client.
  6. Перейдите в раздел Device Settings -> System -> Maintenance.
  7. Нажмите кнопку Upgrade (или Restore) и выберите скачанный файл.
  8. Дождитесь завершения процесса и перезагрузки устройства. Не отключайте питание во время обновления.

Временные меры

Если немедленное обновление прошивки невозможно, необходимо минимизировать риски с помощью следующих шагов:

  • Изоляция сети: Разместите IP-камеры в отдельном сегменте сети (VLAN), изолированном от критически важных узлов и основной корпоративной сети.
  • Ограничение доступа: Настройте правила межсетевого экрана (Firewall), чтобы ограничить доступ к веб-интерфейсу управления (порты 80, 443) только с доверенных IP-адресов администраторов.
  • Смена паролей: Установите сложные, уникальные пароли для всех учетных записей на камере, чтобы предотвратить несанкционированный вход, необходимый для эксплуатации данной уязвимости.
  • Отключение внешних сервисов: Отключите функции UPnP и DDNS, чтобы уменьшить поверхность атаки из внешней сети.
  • Мониторинг трафика: Настройте систему обнаружения вторжений (IDS) на поиск подозрительных конструкций в HTTP-запросах к камерам.

Пример команды для блокировки доступа к камере из внешней сети на шлюзе (Linux/iptables):

iptables -A FORWARD -p tcp -d [IP_КАМЕРЫ] --dport 443 -j DROP
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей