В конце мая 2025 года в Банке данных угроз безопасности информации (BDU) была опубликована информация о пяти новых критических уязвимостях в микропрограммном обеспечении IP-камер и сетевых видеорегистраторов компании AVTECH SECURITY Corporation. Эти уязвимости, получившие идентификаторы BDU:2025-16222, BDU:2025-16223, BDU:2025-16224, BDU:2025-16226 и CVE-2025-57198, CVE-2025-57199, CVE-2025-57200, CVE-2025-57201, позволяют удаленному злоумышленнику выполнять произвольные команды на устройстве. Эксперты оценивают угрозу как высокую, поскольку публичные эксплойты (вредоносные программы для эксплуатации уязвимости) уже существуют в открытом доступе.
Детали уязвимостей
Все обнаруженные уязвимости относятся к одному классу ошибок - недостаточной очистке данных на управляющем уровне, также известной как инъекция команд (CWE-77). Проще говоря, веб-интерфейс, через который пользователи управляют камерами, некорректно обрабатывает вводимые данные. Следовательно, злоумышленник может отправить специально сформированный запрос, который система воспримет как команду для выполнения. Для успешной атаки злоумышленнику потребуется доступ к учетной записи с правами не ниже уровня обычного пользователя.
Особую обеспокоенность специалистов вызывает масштаб проблемы. Согласно данным BDU, под угрозой находятся более 90 различных моделей оборудования Avtech, включая IP-камеры (серии AVM, AVN, AVC), сетевые видеорегистраторы (серии DGM) и видеопанели (KPD). При этом уязвимыми являются все версии микропрограммного обеспечения перечисленных устройств. Такое широкое распространение делает эти уязвимости привлекательной мишенью для киберпреступников.
Уровень опасности подтверждается высокими оценками по шкале CVSS (Common Vulnerability Scoring System - система оценки степени опасности уязвимостей). Базовая оценка CVSS 3.1 составляет 8.8 балла из 10, а CVSS 2.0 - 9 баллов. Такие значения присваиваются уязвимостям, эксплуатация которых может привести к полному компрометированию устройства. Удаленный злоумышленник потенциально может получить несанкционированный доступ к видеопотокам, изменить настройки, вывести устройство из строя или использовать его как точку входа для атак на другие системы в корпоративной сети. Более того, устройство может быть превращено в инструмент для скрытого майнинга криптовалюты или стать частью ботнета для проведения DDoS-атак.
В настоящий момент официальные исправления (патчи) от вендора отсутствуют, а статус уязвимости и информация об их устранении уточняются. Однако исследователи уже детально изучили проблему. Подробный технический анализ и доказательства концепции (PoC) были опубликованы независимым специалистом под псевдонимом xchg-rax-rax на платформе GitHub и в личном блоге. Эта публикация, с одной стороны, помогает SOC (Security Operations Center - центр мониторинга и реагирования на инциденты) и специалистам по безопасности разрабатывать сигнатуры для систем обнаружения вторжений, но с другой - предоставляет злоумышленникам готовый инструментарий для атак.
Поскольку патчи пока недоступны, единственным способом защиты остаются компенсирующие меры. Эксперты настоятельно рекомендуют немедленно ограничить доступ к веб-интерфейсам уязвимых устройств из интернета с помощью межсетевых экранов. Кроме того, критически важно обеспечить сегментацию сети, изолировав системы видеонаблюдения от других критически важных сегментов инфраструктуры. Также следует отключить неиспользуемые сервисы удаленного управления, такие как Telnet, и строго соблюдать принцип наименьших привилегий при настройке учетных записей.
Дополнительным слоем защиты может стать развертывание систем обнаружения и предотвращения вторжений (IDS/IPS), настроенных на выявление попыток эксплуатации данных уязвимостей. Для безопасного удаленного администрирования необходимо использовать виртуальные частные сети (VPN). Регулярный аудит сетевой активности и мониторинг необычных исходящих подключений с устройств помогут своевременно обнаружить скомпрометированные камеры или видеорегистраторы.
Этот инцидент в очередной раз подчеркивает важность безопасности интернета вещей (IoT). Периферийные устройства, такие как камеры, часто остаются без должного внимания с точки зрения кибербезопасности, что делает их слабым звеном в защите организации. Компаниям, использующим оборудование Avtech, необходимо срочно оценить свои риски и принять превентивные меры. В дальнейшем следует внимательно следить за обновлениями на официальном сайте производителя, чтобы вовремя установить заплатки, когда они станут доступны.
Ссылки
- https://bdu.fstec.ru/vul/2025-16226
- https://bdu.fstec.ru/vul/2025-16224
- https://bdu.fstec.ru/vul/2025-16223
- https://bdu.fstec.ru/vul/2025-16222
- https://www.cve.org/CVERecord?id=CVE-2025-57200
- https://www.cve.org/CVERecord?id=CVE-2025-57201
- https://www.cve.org/CVERecord?id=CVE-2025-57199
- https://www.cve.org/CVERecord?id=CVE-2025-57198
- https://github.com/xchg-rax-rax/vulnerability-research/tree/main/CVE-2025-57198
- https://github.com/xchg-rax-rax/vulnerability-research/tree/main/CVE-2025-57199
- https://github.com/xchg-rax-rax/vulnerability-research/tree/main/CVE-2025-57201
- https://github.com/xchg-rax-rax/vulnerability-research/tree/main/CVE-2025-57200
- https://xchg-rax-rax.github.io/2025/10/13/avtech_vulnerabilites.html
