Киберпреступников привлекают старые уязвимости в Wi-Fi-камерах и видеорегистраторах D-Link

Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) официально включило три опасные уязвимости в свой каталог активно эксплуатируемых угроз (KEV) — несмотря на то, что все они были обнаружены ещё несколько лет назад. Это решение принято на фоне новых свидетельств о том, что злоумышленники продолжают атаковать уязвимые устройства по всему миру, пишут в Securitylab.

В список CISA попали три уязвимости, связанные с устройствами D-Link DCS-2530L, DCS-2670L и DNR-322L. Первая — CVE-2020-25078 с оценкой 7,5 баллов по CVSS — позволяет получить удалённый доступ к паролю администратора камеры. Для эксплуатации не требуется сложных техник, а достаточно лишь воспользоваться недоработкой в механизмах безопасности этих моделей, чтобы узнать ключевые данные для доступа к устройству.

Вторая проблема — CVE-2020-25079 с более высоким баллом 8,8 — связана с возможностью выполнить команды в системе через компонент cgi-bin/ddns_enc.cgi. Для использования этого недостатка требуется авторизация, однако после получения доступа атакующий способен внедрять собственные команды на устройстве, что существенно расширяет возможности управления камерой.

Третья уязвимость — CVE-2020-40799 — также оценена в 8,8 баллов. Она заключается в отсутствии проверки целостности при загрузке кода на видеорегистратор D-Link DNR-322L, из-за чего после успешной авторизации появляется возможность выполнять произвольные команды на уровне операционной системы, что открывает путь для установки вредоносного ПО и дальнейшего контроля над оборудованием.

Особое внимание вызывает тот факт, что уязвимость CVE-2020-40799 до сих пор не была устранена производителем. Причина в том, что модель DNR-322L официально признана устаревшей и более не поддерживается компанией D-Link — её жизненный цикл завершился в ноябре 2021 года. Владельцам этих устройств рекомендовано как можно скорее прекратить их использование и перейти на более современные решения, где дыры закрыты. Для двух других моделей патчи были выпущены ещё в 2020 году, однако, как показывает статистика, многие организации и частные пользователи по-прежнему не обновили своё оборудование и подвергаются риску.

Для Федеральных гражданских ведомств США установлены жёсткие сроки: все меры по нейтрализации уязвимостей должны быть реализованы до 26 августа 2025 года. Подобные предписания направлены на защиту критически важных сетей от атак, которые могут привести к утечкам данных, вмешательству в видеонаблюдение и другим опасным последствиям. В современных условиях незащищённые камеры становятся не только целью для взлома, но и инструментом для масштабных киберкампаний, а их массовое распространение лишь усугубляет риски.