Vulnerabilidades en cámaras de red y servidores de vídeo Axis
Reportadas sendas pruebas de concepto sobre escalada de directorios e inyección de código en varios modelos de cámaras de red y servidores de vídeo Axis.
La primera vulnerabilidad se detecta en un CGI que no filtra adecuadamente las entradas, lo que permite inyectar comandos a nivel de sistema. La prueba de concepto publicada demuestra cómo es posible, gracias a esta vulnerabilidad, extraer el archivo etc/passwd.
La segunda vulnerabilidad permite escalar directorios a través del servicio Web mediante la cadena “../”, y subir archivos en cualquier localización del sistema. En esta ocasión, la prueba de concepto consiste en crear una nueva cuenta de administrador, con privilegios totales sobre el sistema.
Según el aviso original, los dispositivos donde se han comprobado las vulnerabilidades, sin excluir la posibilidad de que otros modelos se encuentren afectados, son:
Axis 2100/2110/2120/2420 Network Camera 2.12-2.40 AxisS 2130 PTZ Network Camera
Axis 2400/2401 Video Server
La prueba de concepto ha sido publicada tras, según el aviso original, no obtener respuesta del departamento de seguridad de Axis. A la espera de parches y/o actualizaciones oficiales, la solución de momento pasa por limitar el acceso al servicio Web de los dispositivos.