Компания Bitdefender рассказала об уязвимостях, обнаруженных в камерах безопасности Wyze Cam. Оказалось, один из багов существовал в коде около трех лет и позволял без аутентификации получить удаленный доступ к видео и изображениям, хранящимся на локальных картах памяти камер, пишет Хакер.
Ошибка, которой пока не присвоен идентификатор CVE, позволяла получить доступ к содержимому SD-карты в камере через веб-сервер, прослушивающий порт 80. Дело в том, что при вставке SD-карты в Wyze Cam, символическая ссылка на нее автоматически создается в каталоге www, который обслуживается веб-сервером, но не имеет каких-либо ограничений доступа.
Помимо видео, аудио и изображений, полученных с камеры, на SD-карте также хранятся все журналы устройства, которые содержат UID и ENR (ключ шифрования AES). Раскрытие этих данных позволит злоумышленнику получить беспрепятственный удаленный доступ к устройству.
Интересно, что уязвимость была обнаружена исследователями Bitdefender еще в марте 2019 года вместе с двумя другими проблемами, связанными с обходом аутентификации (CVE-2019-9564) и удаленным управлением (CVE-2019-12266). Эти баги были устранены производителем в 2019-2020 годах, и патчи вошли в состав обновленных версий прошивки.
Третий и самый опасный баг, связанный с SD-картой, тоже получил исправление, однако оно было выпущено лишь недавно — 29 января 2022 года. Учитывая, что такие устройства обычно используются по принципу «установил и забыл», скорее всего, большинство Wyze Cam по-прежнему работают с уязвимыми прошивками.
Также стоит сказать, что обновления доступны только для Wyze Cam v2 и v3, выпущенных в феврале 2018 и октябре 2020 годов. Wyze Cam v1, выпущенная в августе 2017 года, патчей так и не получила, поскольку поддержка этой модели была прекращена в конце 2020 года.
В итоге специалисты Bitdefender рекомендуют пользователям как можно скорее отказаться от Wyze Cam v1 и прекратить использование устаревших камер вовсе, а остальным как можно скорее обновить прошивку.
В инструменте runC, который используется для запуска контейнеров в Docker, Kubernetes и других системах, обнаружены три критические уязвимости - CVE-2025-31133, CVE-2025-52565 и CVE-2025-52881.
После полугодичного затишья операторов Danabot удалось вернуть к жизни инфраструктуру ботнета, разрушенную в ходе международной операции Operation Endgame в мае.
Исследователи из Genians Security Center сообщили о новой кампании кибершпионажа против пользователей Android, связанной с северокорейской группировкой Kimsuky (также известной как APT37 или KONNI).
9-10 декабря 2025 года в инновационном кластере «Ломоносов» пройдёт Открытая конференция ИСП РАН.
Аналитики Sekoia io описали фишинговую кампанию под названием «I Paid Twice», в которой злоумышленники компрометировали учётные записи партнёров на платформах бронирования и рассылали от их имени письма гостиницам и сообщения клиентам через WhatsApp.
Исследователи Mandiant выявили критическую уязвимость в платформе удалённого доступа и обмена файлами Gladinet Triofox.
АНО «Национальный суперкомпьютерный форум», Институт программных систем имени А.
Обновление «Гарда NDR» помогает российским компаниям быстрее выявлять и устранять киберугрозы, снижать нагрузку на аналитиков и повышать эффективность работы центров информационной безопасности.
В День кибериммунитета, 11 ноября, «Лаборатория Касперского» напоминает о том, что меры безопасности могут быть не только реактивными, но и проактивными.
