В системах видеонаблюдения KMW обнаружена критическая уязвимость, способная предоставить злоумышленникам полный и несанкционированный доступ к видеопотокам и настройкам оборудования. Эта проблема вызывает серьёзную обеспокоенность у организаций, использующих данные устройства в чувствительных средах, включая объекты критической информационной инфраструктуры.
Уязвимость CVE-2026-5386
Зарегистрированная под идентификатором CVE-2026-5386 уязвимость была раскрыта Агентством по кибербезопасности и безопасности инфраструктуры США (CISA) в предупреждении ICSA-26-148-06. По шкале CVSS v3 она получила высокий балл 9,1, что свидетельствует о чрезвычайно серьёзном уровне риска. На момент публикации предупреждения компания KMW, зарегистрированная в Румынии, не сообщала о случаях активной эксплуатации уязвимости в реальных атаках. Тем не менее, характер flaws делает её крайне привлекательной для злоумышленников, особенно в контексте шпионажа, наблюдения, манипуляции данными или разведки, нацеленных на критическую инфраструктуру.
Причина уязвимости кроется в ошибке, связанной с "неподтверждённой сменой пароля". Эта проблема позволяет атакующему обойти механизмы аутентификации и изменить учётные данные устройства без должной проверки. После успешной эксплуатации злоумышленник может получить полный контроль над камерами, просматривать видеопотоки в реальном времени и изменять конфигурацию без авторизации. По сути, устройство становится полностью подконтрольным внешнему лицу, что открывает широкие возможности для скрытого наблюдения или вмешательства в работу системы.
Согласно данным CISA, уязвимость затрагивает определённые версии встроенного программного обеспечения камер KMW. В частности, речь идёт о моделях KM-IP521 с прошивкой IPCAM_V4.04.91.230307 и KM-IP421 с прошивкой IPCAM_V4.04.53.210416. Обе модели широко используются в различных секторах, включая коммерческие объекты, государственные учреждения, транспортную систему, финансовые организации и промышленные предприятия. Именно такой разброс по отраслям увеличивает потенциальный масштаб последствий: атака на один из сегментов может привести к каскадным проблемам у многих операторов.
Уязвимость была выявлена и передана в CISA независимым исследователем Souvik Kandar. Его работа подчёркивает важность внешних исследований безопасности для обнаружения слабых мест в среде операционных технологий (OT). Учитывая глобальное распространение камер KMW, организациям, использующим уязвимые модели, настоятельно рекомендуется незамедлительно принять меры по снижению рисков.
CISA предлагает несколько методов защиты для уменьшения вероятности атаки. Прежде всего, необходимо убедиться, что системы видеонаблюдения и управления не доступны напрямую из публичного интернета. Устройства должны находиться за правильно настроенными межсетевыми экранами. Настоятельно рекомендуется сегментирование сети для изоляции систем наблюдения от бизнес-сетей - такая изоляция ограничивает возможность бокового перемещения злоумышленника в случае компрометации одного из узлов. Если требуется удалённый доступ, следует использовать защищённые методы, например, обновлённые виртуальные частные сети (VPN). Однако CISA подчёркивает, что эффективность VPN напрямую зависит от корректной настройки и своевременного обновления.
Помимо технического контроля, CISA обращает внимание на важность осведомлённости персонала для защиты от атак социальной инженерии - они часто служат входной точкой в более масштабные атаки. Командам безопасности рекомендуется отслеживать подозрительную активность и сообщать о любых инцидентах в CISA для координации отслеживания угроз.
Данная уязвимость в очередной раз демонстрирует растущие риски, связанные с небезопасными устройствами интернета вещей и системами наблюдения в критических секторах. Компрометация таких устройств может привести не только к нарушению конфиденциальности, но и к серьёзным операционным сбоям, а в некоторых случаях - и к угрозе национальной безопасности. Организациям, эксплуатирующим камеры KMW, необходимо как можно быстрее оценить степень своего воздействия и применить рекомендованные меры защиты.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-5386
- https://www.cisa.gov/news-events/ics-advisories/icsa-26-148-06
