کشف آسیب‌پذیری بحرانی امنیتی در کتابخانه‌ی پرکاربرد میان‌افزار دوربین‌های مداربسته، نرم افزار‌های نظارت‌تصویری و نمایشگرهای استاندارد

محققان امنیتی یک آسیب‌پذیری خطرناک در کتابخانه استریمینگ LIVE555 کشف کرده‌اند. این کتابخانه به‌صورت گسترده توسط نرم‌افزاراهای نمایشگرهای عمومی ویدیو و همچنین در تولید میان‌افزارهای تجهیزات نظارت‌تصویری مانند دوربین مداربسته، DVR، NVR و XVR مورد استفاده قرار گرفته است. کتابخانه چندرسانه‌ای LIVE555، کاربردهای متعددی در ارسال، دریافت و پردازش قالبهای متفاوت ویدیویی از جمله MPEG، H.265، H.264، H.263+، VP8، DV، JPEG video و همچنین کدک‌های صوتی متعدد ازجمله MPEG، AAC، AMR، AC-3 و Vorbis را پشتیبانی می‌نماید.

به گزارش فصلنامه امنیت الکترونیک، کتابخانه‌های LIVE555 در هر دو سمت سرویس دهنده (Server) و سرویس گیرنده (Client) کاربرد دارد. در بسیاری برندهای پرفروش و مشهور نظارت تصویری همچون AXIS، Sony، Vivotek  و Dahua، در تولید میان‌افزار از بخش سرویس دهنده RTSP این کتابخانه (RTSP Server) استفاده شده است[1]. بخش سمت سرویس دهنده (Server Side) این کتابخانه، همان بخشی است که طبق گزارش معتبر CVE-2018-4013 دچار حفره‌ای بحرانی است.  نمایشگرهای مشهور ویدیو نیز همچون VLC از LIVE555 استفاده می کنند. لکن این نمایشگرها مدعی هستند که صرفاً از بخش سرویس گیرنده (Client side) این کتابخانه برای توسعه خود بهره جسته‌اند و به همین دلیل، این آسیب‌پذیری برای کاربران آنها نگرانی ایجاد نخواهد کرد.

خانم لیلس وات، پژوهشگر آزمایشگاه امنیتی هوشمند تالوس سیسکو، این آسیب‌پذیری LIVE555 RTSP در عملکرد HTTP packet-parsing را 18 مهر سال جاری شناسایی کرد و یک هفته بعد، به «بانک اطلاعاتی ملی آسیب‌پذیری‌ها»[2] گزارش نموده است.

[1]. https://live-devel.live555.narkive.com/2V8NUDvh/network-video-cameras-that-use-the-live555-streaming-media-software

 

[2] . https://nvd.nist.gov/vuln/detail/CVE-2018-4013

About The Author

2 thoughts on “کشف آسیب‌پذیری بحرانی امنیتی در کتابخانه‌ی پرکاربرد میان‌افزار دوربین‌های مداربسته، نرم افزار‌های نظارت‌تصویری و نمایشگرهای استاندارد

  1. بعیده کسی اطلاع نداشته باشه که نرم افزار های VMS حرفه ای خودشون تحت RSTP میتونن تصویر بدهند اون هم با امنیت قابل قبول .
    ضمنا قراردادن اکسیس کنار برندهایی همچون داهوا کمی بی انصافی هست اکسیس یکی از معدود برندهایی هست که اگر قصد داشته باشید از تصویر Onvif اون دوربین خروجی بگیرید باید حتما پروفایل بسازید و سطح دسترسی تعیین کنید و یوزر و پس بسازید تا بتونید یه دوربین اکسیس رو با onvif اد کنید
    تفاوت تکنولوژی ‌ و مباحث سایبری بین اکسیس و سایر برند های چینی و تایوانی متفاوت هست

    1. آسیب‌پذیری گزارش شده در این خبر، ربطی به شنود ندارد. موضوع آسیب پذیری گزارش شده، امکان از کار انداختن موتور RTSP در تجهیزاتی است که از LIVE555 در Firmware خود استفاده می‌کنند. ساخت پروفایل نیز هیچ ارتباطی با هیچیک از ارکان امنیت ندارد. متاسفانه در اکثر قریب به اتفاق تجهیزات نظارت تصویری، ضعفهای فاحش امنیتی مشاهده می‌شود و این ضعفها محدود به چند برند خاص، گران‌قیمت یا پر فروش نیست.

Leave a Reply

Your email address will not be published. Required fields are marked *