CVE-2024-8956

PTZOptics PT30X-SDI/NDI Cameras

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-11-04

Официальное описание

PTZOptics PT30X-SDI/NDI cameras contain an insecure direct object reference (IDOR) vulnerability that allows a remote, attacker to bypass authentication for the /cgi-bin/param.cgi CGI script. If combined with CVE-2024-8957, this can lead to remote code execution as root.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-8956 представляет собой критическую уязвимость типа Insecure Direct Object Reference (IDOR) в веб-интерфейсе камер PTZOptics серии PT30X. Проблема заключается в отсутствии надлежащей проверки авторизации при обращении к CGI-скрипту /cgi-bin/param.cgi.

Злоумышленник может отправить специально сформированный HTTP-запрос к этому скрипту и получить полный доступ к конфигурационным параметрам устройства без ввода логина и пароля. Уязвимость критична тем, что позволяет извлечь чувствительные данные (включая хеши паролей) и, в сочетании с CVE-2024-8957 (Command Injection), приводит к полному захвату устройства с правами root.

Как исправить

Единственным надежным способом устранения уязвимости является обновление прошивки (firmware) до версии, в которой производитель исправил логику проверки прав доступа.

  1. Перейдите на официальный сайт поддержки PTZOptics в раздел загрузок.
  2. Найдите актуальную версию прошивки для вашей модели (PT30X-SDI или PT30X-NDI). Исправление включено в версии, выпущенные после августа 2024 года.
  3. Скачайте файл прошивки.
  4. Зайдите в веб-интерфейс камеры, перейдите в раздел System -> Upgrade.
  5. Выберите скачанный файл и запустите процесс обновления.
  6. После завершения обновления убедитесь, что доступ к /cgi-bin/param.cgi требует аутентификации.

Для проверки версии прошивки через терминал (если доступен SSH):

cat /etc/version

Временные меры

Если немедленное обновление прошивки невозможно, необходимо ограничить сетевой доступ к устройствам, чтобы минимизировать риск эксплуатации.

  1. Изолируйте камеры в отдельный VLAN, доступ к которому разрешен только доверенным рабочим станциям администраторов или видеосерверам (NVR).
  2. Настройте правила межсетевого экрана (ACL), запрещающие доступ к портам 80 (HTTP) и 443 (HTTPS) из внешних сетей и недоверенных сегментов.
  3. Если управление камерой через веб-интерфейс не требуется постоянно, заблокируйте доступ к нему на уровне сетевого шлюза:
iptables -A INPUT -p tcp --dport 80 -s [TRUSTED_IP] -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
  1. Отключите неиспользуемые протоколы и службы в настройках камеры.
  2. Используйте VPN для удаленного управления камерами вместо публикации веб-интерфейса в открытый интернет.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей