IP-Überwachungskameras: Axis schließt Sicherheitslücke

SicherheitSicherheitsmanagement
Die Axis P1365 wird eine der ersten IP-basierenden Überwachungskameras sein, dei direkt mit der Zipstream-Technologie auf den Mark kommt (Bild: Axis Communications).

Sie steckt in den Versionen 5.20 bis 6.20.X der Firmware. Durch sie sind Axis-Produkte angreifbar, auf die über das Internet zugegriffen werden kann. Angreifer mit Netzwerkzugriff könnten sie ausnutzen, um die Überwachungskamera zu missbrauchen.

Axis Communications hat Nutzer seiner über das Web steuerbaren Netzwerkkameras aufgefordert, die Firmware-Version zu überprüfen und gegebenenfalls dringend zu aktualisieren. Grund ist eine von einem unabhängigen Sicherheitsforscher entdeckte Lücke (PDF), die Angreifer ausnutzen könnten, um die Kontrolle über die Geräte zu übernehmen.

Axis PE5414E-640 (Bild: Axis)

Betroffen sind Axis-Netzwerkkameras mit den Versionen 5.20 bis 6.20.X der Firmware. Außerdem ist laut Hersteller die Firmware der Türkontrollsysteme vor Version 1.45.0, die der Tür-Video-Kommunikationssysteme vor Version 5.85.1.2 und des Netzwerk-Hornlautsprechers vor Version 1.20.2 anfällig.

Die aktuellste, fehlerbereinigte Version der Firmware steht nach einer Registrierung auf der Axis-Support-Website zum Download bereit. Alternativ kann sie über das Axis Camera Management eingespielt werden. Download und Installation sollten umgehend vorgenommen werden: Der Sicherheitsforscher, der Axis über die Lücke informiert hatte, plant, diese am 18. Juli 2016 öffentlich bekannt zu machen.

Laut Axis besteht bei Geräten, die hinter einem geschützten Netzwerk, per Axis Video Hosting System (AHVS) verbundenen Netzwerkkameras und Kameras, die Teil der Axis-Companion-Lösung sind zwar ein geringeres Risiko, dass die Lücke ausgenutzt werden kann. Allerdings sollte dennoch auch bei diesen Geräten die Firmware aktualisiert werden.

Axis C3003-E (Bild: Axis Communications)
Auch die Firmware des Netzwewrk-Hornlautsprechers von Axis sollte aktualisert werden (Bild: Axis)

“Obwohl die meisten installierten Kameras sich vermutlich hinter einem geschützten Netzwerk befinden und die Wahrscheinlichkeit, betroffen zu sein gering ist, sehen wir die Lücke als kritisch an und empfehlen, dass Benutzer ein kontrolliertes Firmware-Upgrade der betreffenden Produkte vornehmen. Dabei sollten sie den Hardening Guide befolgen, um mögliche Sicherheitslücken weiter zu reduzieren”, erklärt Fred Juhlin, Senior Cybersecurity Analyst bei Axis Communications, in einer Pressemitteilung.

Axis kann neben der deutschen Firma Mobotix als Marktführer im Bereich professioneller, netzwerkbasierender Videoüberwachungssysteme bezeichnet werden. Zwar gibt es auch Installationen mit lediglich einer oder wenigen Axis-Kameras, etwa im Einzelhandel oder zur Überwachung von Büros oder Lagerflächen außerhalb der Geschäftszeiten, der Großteil der Geräte ist aber tatsächlich in Netzwerken integriert, auf die sich nicht so ohne weiteres zugreifen lässt und die von professionellen Administratoren betreut werden.

Maginon IPC-100 AC (Bilder: Maginon)
Im Januar war bereits bekannt gewordnen, dass bei Aldi verkaufte Maginon-IP-Kameras angreifbar waren, falls Nutzer kein Passwort vergeben hatten (Bilder: Maginon)

Anders sah das bei einer im Januar bekannt gewordenen Sicherheitslücke in IP-Überwachungskameras von Maginon aus, die zuvor im Wesentlichen in mehreren Aktionen über die Aldi-Filialen verkauft wurden. Davon waren zwar nur Nutzer betroffen, die bei der Einrichtung kein Passwort vergeben hatten, aber davon gab es offenbar genug.

Erschwerend kam hinzu, dass die Kamera in dem Fall automatisch eine Verbindung mit dem Internet herstellte. Es bestand dann die Gefahr, dass Unbefugte auf die Bilder zugreifen, das WLAN-Passwort einsehen und unter Umständen auch das Passwort für das E-Mail-Konto erfahren konnten.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen