ZoneMinder Система видеонаблюдения с открытым исходным кодом

Продукт
Дата премьеры системы: 2002/09
Дата последнего релиза: 2022/06
Технологии: Системы видеонаблюдения

Основная статья: Открытое программное обеспечение (Open Source)

ZoneMinderсвободное программное обеспечение для организации видеонаблюдения, распространяемое под лицензией GNU GPL.

2022: Уязвимости в системе видеонаблюдения ZoneMinder 1.36.14

28 июня 2022 года компания Positive Technologies сообщила о том, что их сотрудник Илья Яценко обнаружил две уязвимости в системе видеонаблюдения с открытым исходным кодом ZoneMinder. Продукт применяется для построения корпоративных охранных систем и установки домашнего видеонаблюдения. Производитель выпустил обновление 1.36.16, устраняющее эти уязвимости.

Проблемы выявлены в ZoneMinder версии 1.36.14. Первая и наиболее опасная уязвимость (9,1 балла по шкале CVSS 3.0) позволяет злоумышленнику при аутентификации от имени администратора выполнить удаленное выполнение кода (RCE) на узле, где запущено веб-приложение. В результате нарушитель может получить доступ во внутреннюю сеть. Кроме того, после аутентификации атакующий получает доступ к видеопотоку.

«
«Это распространенное бесплатное решение для установки системы видеонаблюдения. Оно используется и дома, и в компаниях, в том числе на промышленных предприятиях. Согласно нашим оценкам, наибольшее число пользователей ПО — в США, Польше, Италии, Германии, Люксембурге и России. В некоторых случаях администраторы позволяют подключиться к ZoneMinder без аутентификации, что весьма опасно: злоумышленник может воспользоваться такими системами, как Shodan, для поиска доступных в интернете узлов с установленным ZoneMinder»,

рассказал Илья Яценко
»

Доступ к видеоданным может обеспечить злоумышленника сведениями о режиме работы сотрудников, службы охраны и о внутреннем устройстве здания. Если ZoneMinder установлен дома, существует риск перепродажи доступа в даркнете или включения системы видеонаблюдения в каталоги незащищенных видеокамер, к примеру Insecam. Сервис был создан для демонстрации важности настроек безопасности, но также может быть использован преступниками.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft 2.1 т

Вторая уязвимость (4,8 балла по шкале CVSS 3.0) связана с отсутствием предварительной обработки пользовательского ввода в веб-приложении ZoneMinder 1.36.14. Она относится к типу «Хранимая XSS» и может привести к получению злоумышленниками доступа к конфиденциальной информации, например сессий пользователей, на узле, где запущено веб-приложение.

По словам исследователя, среди причин появления подобных уязвимостей может быть как невнимательность разработчиков при написании кода, так и использование устаревших технологий (необновленных версий языка) и недостаточно тщательное проведение код-ревью.

Своевременно определять попытки эксплуатации уязвимости в сети поможет анализ трафика — продукты класса NTA (network traffic analysis) и промышленного NTA, например PT Network Attack Discovery (PT NAD).



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Ростелеком (54)
  VizorLabs (Визорлабс) (41)
  Вокорд (Vocord) (38)
  ВидеоМатрикс (Videomatrix) (26)
  ЭР-Телеком Холдинг (Дом.ру) (22)
  Другие (756)

  ВидеоМатрикс (Videomatrix) (7)
  Ростелеком (7)
  VizorLabs (Визорлабс) (5)
  Талмер (Talmer) (4)
  ЭР-Телеком Холдинг (Дом.ру) (3)
  Другие (65)

  VizorLabs (Визорлабс) (11)
  ВидеоМатрикс (Videomatrix) (7)
  Мобильные ТелеСистемы (МТС) (5)
  Nord Clan (Норд Клан) (4)
  НИИПТ Растр — Научно-исследовательский институт промышленного телевидения (4)
  Другие (46)

  VizorLabs (Визорлабс) (13)
  Ростелеком (4)
  Урбантех (3)
  Департамент информационных технологий Москвы (ДИТ) (2)
  Ситроникс КТ (ранее Кронштадт Технологии) (2)
  Другие (46)

  Nord Clan (Норд Клан) (3)
  Ростелеком (2)
  VizorLabs (Визорлабс) (2)
  САТЕЛ (1)
  СО ЕЭС - Системный оператор Единой энергетической системы (1)
  Другие (22)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Вокорд (Vocord) (12, 43)
  VizorLabs (Визорлабс) (8, 40)
  ВидеоМатрикс (Videomatrix) (16, 27)
  Ростелеком (7, 27)
  ЭЛВИС-НеоТек (12, 18)
  Другие (650, 314)

  ВидеоМатрикс (Videomatrix) (7, 7)
  Ростелеком (4, 6)
  Hikvision (Хиквижн) (3, 5)
  VizorLabs (Визорлабс) (2, 5)
  ISS (Intelligent Security Systems) Интеллектуальные системы безопасности (2, 3)
  Другие (12, 17)

  VizorLabs (Визорлабс) (7, 11)
  ВидеоМатрикс (Videomatrix) (6, 7)
  Департамент здравоохранения города Москвы (1, 2)
  Nord Clan (Норд Клан) (1, 2)
  НИИПТ Растр — Научно-исследовательский институт промышленного телевидения (1, 2)
  Другие (12, 12)

  VizorLabs (Визорлабс) (4, 13)
  Технологии безопасности дорожного движения (ТБДД) (1, 3)
  НИИПТ Растр — Научно-исследовательский институт промышленного телевидения (1, 2)
  РИР (Росатом Инфраструктурные решения) (1, 2)
  Ситроникс КТ (ранее Кронштадт Технологии) (1, 2)
  Другие (8, 10)

  Nord Clan (Норд Клан) (1, 3)
  ЭЛВИС-НеоТек (2, 1)
  VizorLabs (Визорлабс) (1, 1)
  Искра Технологии (1, 1)
  Группа компаний ЦРТ (Центр речевых технологий) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 24
  ИСБ Eselta - 16
  Vocord Traffic - 16
  ЦРТ: Визирь - 15
  Vocord FaceControl - 13
  Другие 384

  Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 4
  Hikvision HikCentral - 3
  Nord Clan: RDetector - 3
  Ростелеком: Умный дом Видеонаблюдение - 3
  FindFace Public Safety - 2
  Другие 26

  Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 6
  Nord Clan: RDetector - 2
  Vmx SILA: HSE - 2
  НИИПТ Растр: Цифровые термостойкие системы видеонаблюдения - 2
  Сервис круглосуточного видеонаблюдения за новорожденными онлайн - 2
  Другие 21

  Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 9
  ТБДД: Азимут Комплексы фотовидеофиксации - 3
  НИИПТ Растр: Цифровые термостойкие системы видеонаблюдения - 2
  Vizorlabs Платформенное решение видеоаналитики - 2
  Русатом Интеллектуальная транспортная система - 2
  Другие 14

  Nord Clan: ML Sense - 3
  Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 1
  ЦРТ: Визирь - 1
  Искра Технологии: Безопасный город ОС5000 - 1
  Элвис-НеоТек: VisorJet Smart Mini IP-камеры - 1
  Другие 1