Sources

https://www.bleepingcomputer.com/news/security/vendor-patches-seven-vuln...
https://blog.vdoo.com/2018/06/18/vdoo-discovers-significant-vulnerabilit...
https://www.axis.com/files/sales/ACV-128401_Affected_Product_List.pdf

Risques

En exploitant 3 de ces 7 vulnérabilités en suivant une séquence spécifique, un acteur malveillant ayant à la caméra via le réseau, pourrait exécuter des commandes malveillantes à distance avec les privilèges root. Cela peut conduire à :
• L’accès au flux vidéo
• Le gel du flux vidéo
• Le contrôle de la caméra : déplacement de la lentille, (dés)activation de la détection de mouvement
• L’ajout de la caméra à un botnet
• La modification du logiciel de la caméra
• L’utilisation de la caméra en tant que point d’accès au réseau (par mouvement latéral)
• Rendre la caméra inopérante
• L’utilisation de la caméra en tant qu’intermédiaire pour lancer d’autres taches malveillantes (DDoS, minage de Bitcoin,…)

Actions recommandées

CERT.be recommandes aux utilisateurs de toujours garder leurs systèmes à jour. Il est également recommandé de séparer vos caméras de votre réseau principal et de ne jamais les connecter à l’internet public. Un nouveau Firmware corrigeant ces vulnérabilités pour votre modèle Axis spécifique peut être téléchargé à l’adresse suivante: https://www.axis.com/support/firmware

Plus d’information

https://www.bleepingcomputer.com/news/security/vendor-patches-seven-vuln...
https://blog.vdoo.com/2018/06/18/vdoo-discovers-significant-vulnerabilit...
https://www.axis.com/files/sales/ACV-128401_Affected_Product_List.pdf
https://www.axis.com/support/firmware