ZoneMinder Система видеонаблюдения с открытым исходным кодом

Продукт
Дата премьеры системы: 2002/09
Дата последнего релиза: 2022/06
Технологии: Системы видеонаблюдения

Основная статья: Открытое программное обеспечение (Open Source)

ZoneMinderсвободное программное обеспечение для организации видеонаблюдения, распространяемое под лицензией GNU GPL.

2022: Уязвимости в системе видеонаблюдения ZoneMinder 1.36.14

28 июня 2022 года компания Positive Technologies сообщила о том, что их сотрудник Илья Яценко обнаружил две уязвимости в системе видеонаблюдения с открытым исходным кодом ZoneMinder. Продукт применяется для построения корпоративных охранных систем и установки домашнего видеонаблюдения. Производитель выпустил обновление 1.36.16, устраняющее эти уязвимости.

Проблемы выявлены в ZoneMinder версии 1.36.14. Первая и наиболее опасная уязвимость (9,1 балла по шкале CVSS 3.0) позволяет злоумышленнику при аутентификации от имени администратора выполнить удаленное выполнение кода (RCE) на узле, где запущено веб-приложение. В результате нарушитель может получить доступ во внутреннюю сеть. Кроме того, после аутентификации атакующий получает доступ к видеопотоку.

«
«Это распространенное бесплатное решение для установки системы видеонаблюдения. Оно используется и дома, и в компаниях, в том числе на промышленных предприятиях. Согласно нашим оценкам, наибольшее число пользователей ПО — в США, Польше, Италии, Германии, Люксембурге и России. В некоторых случаях администраторы позволяют подключиться к ZoneMinder без аутентификации, что весьма опасно: злоумышленник может воспользоваться такими системами, как Shodan, для поиска доступных в интернете узлов с установленным ZoneMinder»,

рассказал Илья Яценко
»

Доступ к видеоданным может обеспечить злоумышленника сведениями о режиме работы сотрудников, службы охраны и о внутреннем устройстве здания. Если ZoneMinder установлен дома, существует риск перепродажи доступа в даркнете или включения системы видеонаблюдения в каталоги незащищенных видеокамер, к примеру Insecam. Сервис был создан для демонстрации важности настроек безопасности, но также может быть использован преступниками.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг

Вторая уязвимость (4,8 балла по шкале CVSS 3.0) связана с отсутствием предварительной обработки пользовательского ввода в веб-приложении ZoneMinder 1.36.14. Она относится к типу «Хранимая XSS» и может привести к получению злоумышленниками доступа к конфиденциальной информации, например сессий пользователей, на узле, где запущено веб-приложение.

По словам исследователя, среди причин появления подобных уязвимостей может быть как невнимательность разработчиков при написании кода, так и использование устаревших технологий (необновленных версий языка) и недостаточно тщательное проведение код-ревью.

Своевременно определять попытки эксплуатации уязвимости в сети поможет анализ трафика — продукты класса NTA (network traffic analysis) и промышленного NTA, например PT Network Attack Discovery (PT NAD).



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Ростелеком (53)
  VizorLabs (Визорлабс) (41)
  Вокорд (Vocord) (38)
  ВидеоМатрикс (Videomatrix) (26)
  ЭР-Телеком Холдинг (Дом.ру) (22)
  Другие (760)

  ВидеоМатрикс (Videomatrix) (7)
  Ростелеком (7)
  VizorLabs (Визорлабс) (5)
  Талмер (Talmer) (4)
  ЭР-Телеком Холдинг (Дом.ру) (3)
  Другие (65)

  VizorLabs (Визорлабс) (11)
  ВидеоМатрикс (Videomatrix) (7)
  Мобильные ТелеСистемы (МТС) (5)
  Nord Clan (Норд Клан) (4)
  НИИПТ Растр — Научно-исследовательский институт промышленного телевидения (4)
  Другие (46)

  VizorLabs (Визорлабс) (13)
  Ростелеком (4)
  Урбантех (3)
  Департамент информационных технологий Москвы (ДИТ) (2)
  Ситроникс КТ (ранее Кронштадт Технологии) (2)
  Другие (46)

  Северсталь-Инфоком (3)
  Nord Clan (Норд Клан) (3)
  Ростелеком (2)
  VizorLabs (Визорлабс) (2)
  Интеллектуальные технические системы НПО (НПО ИТС) (2)
  Другие (24)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Вокорд (Vocord) (12, 43)
  VizorLabs (Визорлабс) (8, 40)
  ВидеоМатрикс (Videomatrix) (16, 27)
  Ростелеком (7, 27)
  ЭЛВИС-НеоТек (12, 18)
  Другие (651, 315)

  ВидеоМатрикс (Videomatrix) (7, 7)
  Ростелеком (4, 6)
  Hikvision (Хиквижн) (3, 5)
  VizorLabs (Визорлабс) (2, 5)
  ISS (Intelligent Security Systems) Интеллектуальные системы безопасности (2, 3)
  Другие (12, 17)

  VizorLabs (Визорлабс) (7, 11)
  ВидеоМатрикс (Videomatrix) (6, 7)
  Nord Clan (Норд Клан) (1, 2)
  НИИПТ Растр — Научно-исследовательский институт промышленного телевидения (1, 2)
  Департамент здравоохранения города Москвы (1, 2)
  Другие (12, 12)

  VizorLabs (Визорлабс) (4, 13)
  Технологии безопасности дорожного движения (ТБДД) (1, 3)
  РИР (Росатом Инфраструктурные решения) (1, 2)
  Ситроникс КТ (ранее Кронштадт Технологии) (1, 2)
  Nord Clan (Норд Клан) (1, 2)
  Другие (8, 10)

  Nord Clan (Норд Клан) (1, 3)
  ЭЛВИС-НеоТек (2, 1)
  VizorLabs (Визорлабс) (1, 1)
  Интеллектуальные технические системы НПО (НПО ИТС) (1, 1)
  Группа компаний ЦРТ (Центр речевых технологий) (1, 1)
  Другие (1, 1)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 24
  ИСБ Eselta - 16
  Vocord Traffic - 16
  ЦРТ: Визирь - 15
  Vocord FaceControl - 13
  Другие 385

  Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 4
  Hikvision HikCentral - 3
  Nord Clan: RDetector - 3
  Ростелеком: Умный дом Видеонаблюдение - 3
  FindFace Public Safety - 2
  Другие 26

  Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 6
  Сервис круглосуточного видеонаблюдения за новорожденными онлайн - 2
  НИИПТ Растр: Цифровые термостойкие системы видеонаблюдения - 2
  Nord Clan: RDetector - 2
  Vmx SILA: HSE - 2
  Другие 21

  Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 9
  ТБДД: Азимут Комплексы фотовидеофиксации - 3
  Sitronics KT: Беринг Электронная картографическая навигационно-информационная система - 2
  Vizorlabs Платформенное решение видеоаналитики - 2
  Softlogic: SC-iMVS-RM3 Автокомплекс нейросетевого наблюдения для контроля объектов дорожной инфраструктуры - 2
  Другие 14

  Nord Clan: ML Sense - 3
  Искра Технологии: Безопасный город ОС5000 - 1
  Orwell 2k - 1
  ЦРТ: Визирь - 1
  Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 1
  Другие 2