محققان امنیتی یک آسیبپذیری خطرناک در کتابخانه استریمینگ LIVE555 کشف کردهاند. این کتابخانه بهصورت گسترده توسط نرمافزاراهای نمایشگرهای عمومی ویدیو و همچنین در تولید میانافزارهای تجهیزات نظارتتصویری مانند دوربین مداربسته، DVR، NVR و XVR مورد استفاده قرار گرفته است. کتابخانه چندرسانهای LIVE555، کاربردهای متعددی در ارسال، دریافت و پردازش قالبهای متفاوت ویدیویی از جمله MPEG، H.265، H.264، H.263+، VP8، DV، JPEG video و همچنین کدکهای صوتی متعدد ازجمله MPEG، AAC، AMR، AC-3 و Vorbis را پشتیبانی مینماید.
به گزارش فصلنامه امنیت الکترونیک، کتابخانههای LIVE555 در هر دو سمت سرویس دهنده (Server) و سرویس گیرنده (Client) کاربرد دارد. در بسیاری برندهای پرفروش و مشهور نظارت تصویری همچون AXIS، Sony، Vivotek و Dahua، در تولید میانافزار از بخش سرویس دهنده RTSP این کتابخانه (RTSP Server) استفاده شده است[1]. بخش سمت سرویس دهنده (Server Side) این کتابخانه، همان بخشی است که طبق گزارش معتبر CVE-2018-4013 دچار حفرهای بحرانی است. نمایشگرهای مشهور ویدیو نیز همچون VLC از LIVE555 استفاده می کنند. لکن این نمایشگرها مدعی هستند که صرفاً از بخش سرویس گیرنده (Client side) این کتابخانه برای توسعه خود بهره جستهاند و به همین دلیل، این آسیبپذیری برای کاربران آنها نگرانی ایجاد نخواهد کرد.
خانم لیلس وات، پژوهشگر آزمایشگاه امنیتی هوشمند تالوس سیسکو، این آسیبپذیری LIVE555 RTSP در عملکرد HTTP packet-parsing را 18 مهر سال جاری شناسایی کرد و یک هفته بعد، به «بانک اطلاعاتی ملی آسیبپذیریها»[2] گزارش نموده است.
[1]. https://live-devel.live555.narkive.com/2V8NUDvh/network-video-cameras-that-use-the-live555-streaming-media-software
[2] . https://nvd.nist.gov/vuln/detail/CVE-2018-4013
About The Author
بعیده کسی اطلاع نداشته باشه که نرم افزار های VMS حرفه ای خودشون تحت RSTP میتونن تصویر بدهند اون هم با امنیت قابل قبول .
ضمنا قراردادن اکسیس کنار برندهایی همچون داهوا کمی بی انصافی هست اکسیس یکی از معدود برندهایی هست که اگر قصد داشته باشید از تصویر Onvif اون دوربین خروجی بگیرید باید حتما پروفایل بسازید و سطح دسترسی تعیین کنید و یوزر و پس بسازید تا بتونید یه دوربین اکسیس رو با onvif اد کنید
تفاوت تکنولوژی و مباحث سایبری بین اکسیس و سایر برند های چینی و تایوانی متفاوت هست
آسیبپذیری گزارش شده در این خبر، ربطی به شنود ندارد. موضوع آسیب پذیری گزارش شده، امکان از کار انداختن موتور RTSP در تجهیزاتی است که از LIVE555 در Firmware خود استفاده میکنند. ساخت پروفایل نیز هیچ ارتباطی با هیچیک از ارکان امنیت ندارد. متاسفانه در اکثر قریب به اتفاق تجهیزات نظارت تصویری، ضعفهای فاحش امنیتی مشاهده میشود و این ضعفها محدود به چند برند خاص، گرانقیمت یا پر فروش نیست.