CVE-2024-11120

GeoVision Multiple Devices

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-05-07

Официальное описание

Multiple GeoVision devices contain an OS command injection vulnerability that allows a remote, unauthenticated attacker to inject and execute arbitrary system commands. The impacted products could be end-of-life (EoL) and/or end-of-service (EoS). Users should discontinue product utilization.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-11120 представляет собой критическую уязвимость типа OS Command Injection (инъекция системных команд) в сетевых устройствах GeoVision. Проблема возникает из-за недостаточной фильтрации входных данных в веб-интерфейсе управления.

Дистанционный неавторизованный злоумышленник может отправить специально сформированный HTTP-запрос, содержащий метасимволы оболочки (shell), что позволяет выполнить произвольный код на уровне операционной системы устройства. Учитывая, что атака не требует аутентификации, риск полной компрометации устройства, кражи данных и использования девайса в качестве плацдарма для атак внутри локальной сети оценивается как критический (CVSS 9.8).

Как исправить

Основная сложность заключается в том, что большинство затронутых устройств GeoVision (таких как IP-камеры и серверы записи старых серий) достигли статуса End-of-Life (EoL) или End-of-Service (EoS). Производитель официально рекомендует прекратить эксплуатацию данных моделей.

Если ваше устройство поддерживает обновление, выполните следующие действия:

  1. Перейдите на официальный сайт технической поддержки GeoVision.
  2. Проверьте наличие последней версии прошивки для вашей модели.
  3. Установите обновление через веб-интерфейс устройства:
# Пример пути в интерфейсе: System Settings -> Maintenance -> Firmware Upgrade
  1. Если обновлений для вашей модели нет, единственным надежным способом исправления является полная замена оборудования на современные модели, получающие патчи безопасности.

Временные меры

Если немедленная замена оборудования невозможна, необходимо минимизировать поверхность атаки с помощью сетевого экранирования и изоляции:

  1. Полностью изолируйте устройства GeoVision от прямого доступа из сети Интернет. Удалите все правила Port Forwarding на роутере, ведущие к этим устройствам.

  2. Разместите уязвимые устройства в отдельном изолированном сегменте сети (VLAN) без доступа к критически важным узлам инфраструктуры.

  3. Настройте Access Control List (ACL) на межсетевом экране, чтобы разрешить доступ к веб-интерфейсу устройств только с доверенных IP-адресов администраторов:

iptables -A INPUT -p tcp -s [TRUSTED_IP] --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s [TRUSTED_IP] --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP

  1. Используйте VPN (например, WireGuard или OpenVPN) для удаленного доступа к камерам вместо публикации их портов во внешнюю сеть.

  2. Измените стандартные пароли и отключите неиспользуемые протоколы (Telnet, SNMP, FTP).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей