В конце мая 2026 года была официально опубликована информация об уязвимости CVE-2026-7766, затрагивающей панель управления камерами видеонаблюдения Kenik. Эта проблема получила высокий уровень опасности по шкале CVSS 4.0 (8,3 балла). Суть её заключается в том, что любой злоумышленник, не имеющий учётной записи, может отправить специально сформированный GET-запрос и прочитать произвольные файлы, хранящиеся на сервере камеры. Такая возможность делает устройства удобной точкой входа для дальнейшей атаки на корпоративную сеть.
Уязвимость CVE-2026-7766
Уязвимость относится к категории CWE-22 - "неправильное ограничение пути к каталогу" (Path Traversal). Простыми словами, разработчики не проверили, что пользовательский ввод не содержит символов "../" и других трюков, позволяющих выйти за пределы разрешённой папки. В результате атакующий может обратиться к любому файлу в файловой системе - от конфигурационных файлов самой камеры до баз данных с учётными записями и ключами шифрования. Особую тревогу вызывает то, что для эксплуатации не требуется ни авторизация, ни доступ к локальной сети: достаточно, чтобы камера была подключена к сети и панель управления была доступна по протоколу HTTP.
Под удар попали почти все актуальные модели, выпускаемые Kenik следующих серии: KG-5230TAS-IL-3, KG-5230TAS-IL-G3, KG-5230DAS-IL-G3, KG-5260TZAS-IL-3, KG-5260DZAS-IL-3, KG-5260TZAS-IL-G3, KG-5260DZAS-IL-G3, а также KG-5260xxxx-IL-(G)2 (где xxxx - цифровой код модификации). Для большинства моделей уязвимыми признаны все версии прошивки, выпущенные до 21 апреля 2025 года. Исключение составляет семейство KG-5260xxxx-IL-(G)2: для него критическая дата - 23 апреля 2026 года. Производитель уже выпустил исправления в указанные сроки, поэтому владельцам камер необходимо как можно скорее обновить программное обеспечение.
Почему эта уязвимость заслуживает пристального внимания специалистов по информационной безопасности? Камеры видеонаблюдения давно перестали быть изолированными устройствами. Сегодня они работают внутри корпоративных сетей, подключаются к системам аналитики, записывают видео на сетевые хранилища и, что самое важное, часто содержат учётные данные для доступа к другим ресурсам. Например, в конфигурационных файлах могут храниться пароли от FTP-серверов, ключи API для интеграции с SIEM-системами (системами управления событиями ИБ и корреляции данных) или даже данные для аутентификации в Active Directory. Прочитав такие файлы, злоумышленник получает легитимные учётные записи и может двигаться дальше по сети незамеченным.
Кроме того, уязвимость обхода пути позволяет извлечь сам файл прошивки. Это открывает дорогу для реверс-инжиниринга: атакующий может найти другие уязвимости или встроить вредоносную полезную нагрузку в образ прошивки и перепрошить камеру. В результате устройство превращается в инструмент для шпионажа или промежуточную точку для атак на другие системы.
Важно отметить, что даже если камера не имеет выхода в интернет и доступна только из локальной сети, риск остаётся высоким. Достаточно одного заражённого компьютера внутри периметра, чтобы злоумышленник начал сканирование и эксплуатацию всех камер Kenik. Учитывая, что такие устройства часто используются на промышленных объектах, в торговых центрах и офисных зданиях, потенциальный ущерб может быть колоссальным: от кражи видеозаписей до остановки производственного процесса.
С точки зрения технической детализации, эксплуатация выглядит следующим образом. Злоумышленник отправляет GET-запрос вида "GET /../../etc/passwd HTTP/1.1" на веб-интерфейс камеры. Если сервер не проверяет путь и обслуживает запрос, он возвращает содержимое запрошенного файла. В панели управления Kenik, судя по описанию, отключена фильтрация ввода, поэтому такой запрос приводит к чтению файла с сервера. Интересно, что уязвимость обнаружена именно в панели управления, а не в каких-то утилитарных сервисах, что говорит о низком качестве аудита безопасности на этапе разработки.
Что делать владельцам и администраторам? В первую очередь необходимо обновить прошивку до версий, указанных производителем: для серий KG-5230 и KG-5260 (кроме KG-5260xxxx-IL-(G)2) - версия не ранее 2025-04-21, для KG-5260xxxx-IL-(G)2 - не ранее 2026-04-23. Если обновление невозможно по каким-то причинам (например, камера используется в критической инфраструктуре и требует перерыва), следует немедленно заблокировать доступ к веб-интерфейсу камеры извне, настроив межсетевые экраны (firewall). Рекомендуется также разместить камеры в отдельном сегменте сети и разрешить доступ к панели управления только с ограниченного числа IP-адресов. Дополнительно стоит проверить логи на предмет подозрительных запросов с конструкциями типа "../" - это может свидетельствовать о попытках эксплуатации.
Подводя итог, отметим, что уязвимость CVE-2026-7766 - ещё одно напоминание о том, что устройства интернета вещей (IoT) часто имеют слабую защиту на уровне прикладного ПО. Производитель Kenik оперативно отреагировал и выпустил патчи, однако своевременность их установки целиком зависит от пользователей. Промедление с обновлением может привести к утечке конфиденциальной информации и компрометации всей корпоративной сети. Поэтому всем, кто эксплуатирует камеры Kenik, необходимо прямо сейчас проверить версии прошивок и применить исправления.
Ссылки
