Агентство по кибербезопасности и защите инфраструктуры (CISA), ключевой регулятор в области ИБ в США, выпустило экстренное предупреждение для организаций по всему миру. Поводом стала обнаруженная критическая уязвимость в линейке IP-камер видеонаблюдения Honeywell, которая позволяет злоумышленникам полностью захватывать учётные записи пользователей. В результате атакующие получают несанкционированный доступ к прямым трансляциям с камер, что ставит под угрозу физическую безопасность объектов и создаёт точку входа для более глубокого проникновения в корпоративные сети.
Детали уязвимости
Техническая суть проблемы, получившей идентификатор CVE-2026-1670, заключается в отсутствии проверки подлинности для критически важной функции. Уязвимость классифицирована по шкале CVSS (Common Vulnerability Scoring System - система оценки критичности уязвимостей) с максимально возможным баллом 9.8, что соответствует высшему уровню опасности. Конкретно, ошибка позволяет неаутентифицированному удалённому злоумышленнику изменить адрес электронной почты для восстановления доступа, привязанный к учётной записи камеры. Эта операция, по сути, является первым шагом к полному захвату аккаунта. После получения контроля атакующий может не только просматривать живые видео-потоки, но и менять настройки безопасности, отключать запись или использовать скомпрометированное устройство как плацдарм для атаки на другие системы внутри сети организации - техника, известная как «латеральное перемещение».
Под удар попадает ряд популярных моделей камер Honeywell, включая I-HIB2PI-UL 2MP IP камеру (прошивка версии 6.1.22.1216), а также модели серий SMB NDAA MVO-3, PTZ WDR 2MP 32M и 25M IPC, работающие под управлением прошивки WDR_2MP_32M_PTZ_v2.0. Эти устройства широко распространены в коммерческом секторе по всему миру - их устанавливают на предприятиях, в офисных центрах, логистических комплексах и других объектах критической инфраструктуры. Таким образом, потенциальный масштаб воздействия уязвимости является крайне значительным. Официальное уведомление CISA под номером ICSA-26-048-04 было опубликовано 17 февраля 2026 года после того, как на проблему указал независимый исследователь безопасности Сувик Кандар. Важно отметить, что на момент публикации совета не было зафиксировано случаев активного использования этой уязвимости в дикой среде, однако такое окно возможностей для защитников, скорее всего, будет недолгим.
Эксперты в области информационной безопасности видят в этой ситуации классический пример системной проблемы. Камеры видеонаблюдения, как и многие другие IoT-устройства, часто развёртываются с минимальными настройками безопасности или подключаются напрямую к интернету для удобства удалённого администрирования. При этом они выполняют критически важную функцию, являясь «глазами» службы безопасности. Компрометация таких устройств ведёт к двояким последствиям. Во-первых, это прямое нарушение конфиденциальности и сбой в работе систем физической защиты. Злоумышленник может отслеживать перемещения персонала, отключать наблюдение в ключевые моменты или манипулировать архивными записями. Во-вторых, и это не менее опасно, взломанная камера становится удобной точкой входа в корпоративную сеть для последующих атак, будь то распространение программ-вымогателей, кража данных или целевая шпионская деятельность.
Учитывая критичность угрозы, CISA даёт организациям, использующим затронутые устройства, чёткий набор рекомендаций. Первоочередной и наиболее эффективной мерой является сегментация сети. Камеры видеонаблюдения должны быть изолированы в отдельный сегмент сети, не имеющий прямого доступа ни к интернету, ни к ключевым бизнес-системам, таким как серверы с данными или финансовые приложения. Для дистанционного управления доступ к этому сегменту должен осуществляться исключительно через защищённое VPN-соединение. Кроме того, настоятельно рекомендуется размещать все подобные устройства за брандмауэром с жёстко настроенными правилами, разрешающими только необходимый для работы трафик.
В более широком смысле данный инцидент служит напоминанием о необходимости стратегии «глубокой эшелонированной обороны» (Defense-in-Depth). Помимо изоляции оборудования, компаниям следует проводить регулярные оценки воздействия на безопасность, внимательно отслеживать журналы событий на предмет подозрительных действий с учётными записями или несанкционированных изменений конфигураций. Ключевой вывод для специалистов по безопасности заключается в том, что любое сетевое устройство, особенно обладающее возможностями удалённого администрирования, должно рассматриваться как потенциальный вектор атаки и защищаться соответствующим образом. Ожидание обновления прошивки от вендора - необходимый, но недостаточный шаг. Активные меры по сегментации и контролю доступа могут нейтрализовать угрозу ещё до того, как злоумышленники начнут массово её эксплуатировать.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-1670
- https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-04
- https://www.honeywell.com/us/en/contact/support
