Статья Уязвимости IP-камер GeoVision CVE-2026-42364: command injection и privilege escalation в LPC2011/LPC2211

Разобранная IP-камера GeoVision на антистатическом коврике с обнажённой платой. Рука в перчатке держит логический пробник, монитор отображает код уязвимости.


Семь критических CVE в одном пакете - Cisco Talos опубликовали их 4 мая 2026 года, и все затрагивают камеры распознавания номеров GeoVision LPC2011/LPC2211 плюс серверное ПО GV-VMS. Две из них - CVE-2026-42364 (OS command injection, CVSS 9.9) и CVE-2026-42368 (privilege escalation, CVSS 9.9) - в связке дают полный root-доступ к устройству через веб-интерфейс. Прошивка 1.10, один CGI-обработчик без санитизации ввода, процесс веб-сервера от root. Камера на КПП бизнес-центра превращается из средства защиты в точку входа для атакующего. Разбираю обе уязвимости технически, показываю цепочку эксплуатации от разведки до закрепления и даю чеклист, который можно передать сисадмину прямо сейчас.

Взлом системы физической безопасности через камеры: зачем это атакующему​

GeoVision LPC2011 и LPC2211 - специализированные камеры распознавания автомобильных номеров (License Plate Capture). Их ставят на въездах парковок, КПП бизнес-центров, пограничных пунктах и объектах критической инфраструктуры. GeoVision - тайваньский производитель с 25-летней историей, чьё оборудование, по данным lyrie.ai, развёрнуто в дата-центрах, больницах, аэропортах и госучреждениях.

Скомпрометированная LPC-камера - это не просто видеопоток. Для атакующего это три вещи:
  • Сетевой плацдарм в сегменте физической безопасности, обычно связанном со СКУД и системами управления зданием
  • Доступ к видеоданным - отслеживание перемещений людей и транспорта, подмена потока или отключение записи
  • Pivot-точка для lateral movement - если камеры и рабочие станции не разделены на уровне VLAN (а на практике в большинстве организаций именно так)
По данным lyrie.ai со ссылкой на исследование Claroty (2025), более 34% устройств физической безопасности в здравоохранении имеют хотя бы одну известную непатченную CVE. В энергетике - ближе к 47%.

Место в цепочке атаки​

В терминах MITRE ATT&CK цепочка строится так: Exploit Public-Facing Application (T1190, Initial Access) -> Unix Shell (T1059.004, Execution) -> Exploitation for Privilege Escalation (T1068) -> Web Shell (T1505.003, Persistence) -> Video Capture (T1125, Collection). При развитии атаки - External Remote Services (T1133) для постоянного доступа и дамп /etc/passwd, /etc/shadow (T1003.008) для сбора учётных данных с устройства.

CVE-2026-42364 GeoVision: OS command injection в IP-камерах LPC2011/LPC2211​

1783689923482.webp

Механика инъекции и разбор CVSS-вектора​

Уязвимость CWE-78 (OS Command Injection) сидит в CGI-обработчике DdnsSetting.cgi на камерах GeoVision LPC2011/LPC2211 с прошивкой 1.10. DDNS - стандартная функция IP-камер для поддержания постоянного доменного имени при динамическом IP. Обработчик принимает параметры конфигурации DDNS через HTTP-запрос и передаёт их напрямую в системные команды без какой-либо санитизации.

Атакующий встраивает метасимволы оболочки - ;, |, обратные кавычки, $(...) - в значения конфигурации DDNS. Прошивка крутится на embedded GNU/Linux, веб-сервер запущен с правами root (классика для таких устройств). Одна инъекция - и команда исполняется с максимальными привилегиями.

CVSS 9.9 (CRITICAL), вектор CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H:
  • AV:N - атака удалённо по сети
  • AC:L - сложность низкая, специальных условий нет
  • PR:L - нужен аутентифицированный доступ к веб-интерфейсу
  • UI:N - действий пользователя не требуется
  • S:C (Changed) - импакт выходит за пределы веб-компонента, компрометируя всю ОС
  • C:H/I:H/A:H - полное воздействие на конфиденциальность, целостность и доступность
PR:L означает, что нужны валидные учётные данные. На практике это редко бывает преградой: дефолтные пароли GeoVision-устройств давно известны. Плюс в кластере есть CVE-2026-42365 (предсказуемые session cookies, CVSS 8.6, CWE-341) и CVE-2026-42363 (утечка учётных данных через недостаточное шифрование, CVSS 9.3, CWE-656) - оба позволяют получить аутентификацию обходными путями.

EPSS для CVE-2026-42364 составляет 0.0161 с перцентилем 0.7297 - выше медианы среди всех CVE в базе FIRST.org. Наивысший показатель во всём кластере GeoVision, что указывает на повышенную вероятность реальной эксплуатации в течение 30 дней.

[Применимо: внешний пентест при экспозиции камеры в интернет, внутренний пентест при доступе к VLAN видеонаблюдения. Целевая прошивка: 1.10]

CVE-2026-42368: повышение привилегий во встроенном ПО камеры​

1783689982376.webp

Уязвимость CWE-266 (Incorrect Privilege Assignment) в веб-интерфейсе тех же камер GeoVision LPC2011/LPC2211 с прошивкой 1.10. Из описания NVD: "A specially crafted HTTP request can lead to execute priviledged operation. An attacker can visit a webpage to trigger this vulnerability""Специально сформированный HTTP-запрос может привести к выполнению привилегированных операций. Злоумышленник может посетить веб-страницу, чтобы воспользоваться этой уязвимостью." - для эксплуатации достаточно обратиться к определённой странице веб-интерфейса. Вот так просто.

CWE-266 описывает ситуацию, когда продукт неправильно назначает привилегии конкретному актору, создавая непредусмотренную сферу контроля. На embedded-устройствах это обычно: отсутствующая проверка авторизации на привилегированном эндпоинте, прямой доступ к административным URL или манипуляция параметрами HTTP-запроса для повышения роли.

CVSS 9.9 (CRITICAL), вектор идентичен CVE-2026-42364: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Scope: Changed подтверждает - последствия выходят за пределы веб-интерфейса, атакующий с правами оператора получает полный административный контроль.

EPSS: 0.0035, перцентиль 0.2678 - ниже медианы. Но в связке с CVE-2026-42364 эта уязвимость критична: повышение привилегий до администратора открывает доступ ко всем конфигурационным эндпоинтам, включая DdnsSetting.cgi.

По данным NVD, прошивка версии 1.2 маркирована как unaffected для CVE-2026-42368.

Эксплуатация уязвимостей камер наблюдения: пошаговая цепочка​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Метасимвол ; завершает системную команду настройки DDNS, а id исполняется как отдельная команда. На embedded Linux камеры ожидаемый результат - uid=0(root). Для blind-сценария - time-based payload: значение $(sleep 5) в параметре с замером задержки ответа.

Этап 4: Эскалация через CVE-2026-42368. Если начальная сессия получена с минимальными привилегиями (оператор), обращение к привилегированным страницам веб-интерфейса позволяет повысить роль до администратора. После этого открывается полный набор конфигурационных эндпоинтов.

Этап 5: Закрепление и lateral movement. С root-доступом к embedded Linux камеры:
  1. Запись веб-шелла в директорию веб-сервера (T1505.003)
  2. Добавление SSH-ключа или включение telnet для постоянного доступа (T1133)
  3. Дамп /etc/passwd и /etc/shadow (T1003.008) - пароли от камеры нередко совпадают с паролями других устройств в сети
  4. Сканирование смежных сегментов - СКУД, серверы NVR, системы управления зданием
  5. Перехват или подмена видеопотока (T1125)

Когда техника НЕ работает​

  • Камера за WAF уровня приложений - метасимволы в POST-параметрах будут заблокированы. WAF перед камерой видеонаблюдения я встречал ровно один раз за всё время
  • Прошивка обновлена выше версии 1.10 (по данным NVD, версия 1.2 - unaffected)
  • IDS/IPS с сигнатурами command injection на границе сегмента камер
  • Веб-интерфейс камеры недоступен по сети (нет маршрута)
  • Не удалось получить аутентификацию: все альтернативные векторы из кластера (CVE-2026-42365, CVE-2026-42363, CVE-2026-42367) закрыты

Кластер уязвимостей IP-камер GeoVision 2026: полная картина​

CVE-2026-42364 и CVE-2026-42368 - часть кластера из семи CVE, опубликованных одновременно:

CVEКомпонентТип уязвимостиCVSSCWE
CVE-2026-42369GV-VMS V20 WebCam ServerStack Overflow, RCE без аутентификации10.0CWE-787
CVE-2026-42370GV-VMS V20 LoginStack Overflow, RCE9.0CWE-787
CVE-2026-42364LPC2011/2211 DdnsSetting.cgiOS Command Injection9.9CWE-78
CVE-2026-42368LPC2011/2211 Web InterfacePrivilege Escalation9.9CWE-266
CVE-2026-42363GV-IP Device Utility 9.0.5Утечка учётных данных9.3CWE-656
CVE-2026-42365LPC2011/2211 Web InterfaceПредсказуемые session cookies8.6CWE-341
CVE-2026-42367LPC2011/2211 ssi.cgiУтечка учётных данных6.5CWE-522

CVE-2026-42369 стоит разобрать отдельно: stack overflow (CWE-787) в компоненте WebCam Server программы GV-VMS V20, скомпилированном без ASLR. По данным lyrie.ai, переполнение происходит при декодировании base64 из заголовка Authorization в фиксированный 256-байтный буфер без проверки границ. Нет ASLR - адреса стека предсказуемы, для рабочего эксплоита утечка адресов не нужна. Неаутентифицированный HTTP-запрос к эндпоинту gvapi с переполненным заголовком даёт выполнение кода от SYSTEM. CISA SSVC: Automatable = yes, Technical Impact = total. Если в организации помимо камер LPC используется GV-VMS - это второй независимый вектор полной компрометации.

В кластере также присутствует CVE-2026-42366 (CWE-79, Reflected XSS, CVSS 7.4) в ssi.cgi - может использоваться для захвата сессий операторов через crafted URL.

Чеклист обнаружения и защиты IoT-камер GeoVision​

  1. Провести инвентаризацию устройств GeoVision в сети - nmap -sV -p 80,443,8080 <диапазон> --script http-title
  2. Определить версию прошивки через веб-интерфейс - если 1.10, устройство уязвимо по обеим CVE
  3. Обновить прошивку до версии, не подверженной уязвимости (NVD маркирует 1.2 как unaffected для CVE-2026-42368; для всех CVE - проверить страницу загрузок GeoVision)
  4. Изолировать камеры в выделенный VLAN без маршрутизации в корпоративный сегмент
  5. Закрыть доступ к веб-интерфейсу камер из интернета - заблокировать порты 80/443/8080 на WAN-интерфейсе
  6. Сменить дефолтные учётные данные на всех устройствах GeoVision
  7. Настроить мониторинг HTTP-трафика к камерам: запросы к DdnsSetting.cgi с символами ;, |, $() в параметрах - индикатор попытки эксплуатации
  8. Проверить логи на признаки уже состоявшейся компрометации: нетипичные исходящие соединения, изменения файловой системы, новые файлы в директории веб-сервера
  9. Если используется GV-VMS V20 - дополнительно ограничить доступ к порту WebCam Server (CVE-2026-42369, CVSS 10.0)
Кластер уязвимостей GeoVision - это не единичный баг, а паттерн, который повторяется из проекта в проект при IoT-пентесте камер видеонаблюдения. Данные от пользователя -> системная команда без фильтрации. Embedded Linux без ASLR, SELinux и namespace-изоляции. Веб-сервер от root. Семь критических CVE за один раз - от камер и утилиты управления до VMS-сервера - говорят не о случайном баге, а о системной проблеме в архитектуре безопасности вендора. GeoVision здесь не уникален: Hikvision в 2025 году получила CVE-2025-66176 и CVE-2025-66177 (buffer overflow в функции обнаружения устройств, CVSS 8.8, CWE-121), Dahua проходит через аналогичные циклы. Камеры видеонаблюдения как класс IoT-устройств остаются одной из самых слабых точек корпоративного периметра - и причина не техническая. За камеры отвечает служба эксплуатации здания, а не ИТ-отдел. Обновление прошивки воспринимается как "необязательная операция", а сегментация сети заканчивается на уровне "всё в одном VLAN". Пока граница ответственности между физической и кибербезопасностью не будет устранена на организационном уровне, мы продолжим находить root-шеллы через камеры на парковках. Если интересно посмотреть как command injection ломает embedded-устройства на живом стенде - задачи с IoT-вектором есть на HackerLab.pro (https://hackerlab.pro).
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab