Семь критических CVE в одном пакете - Cisco Talos опубликовали их 4 мая 2026 года, и все затрагивают камеры распознавания номеров GeoVision LPC2011/LPC2211 плюс серверное ПО GV-VMS. Две из них - CVE-2026-42364 (OS command injection, CVSS 9.9) и CVE-2026-42368 (privilege escalation, CVSS 9.9) - в связке дают полный root-доступ к устройству через веб-интерфейс. Прошивка 1.10, один CGI-обработчик без санитизации ввода, процесс веб-сервера от root. Камера на КПП бизнес-центра превращается из средства защиты в точку входа для атакующего. Разбираю обе уязвимости технически, показываю цепочку эксплуатации от разведки до закрепления и даю чеклист, который можно передать сисадмину прямо сейчас.
Взлом системы физической безопасности через камеры: зачем это атакующему
GeoVision LPC2011 и LPC2211 - специализированные камеры распознавания автомобильных номеров (License Plate Capture). Их ставят на въездах парковок, КПП бизнес-центров, пограничных пунктах и объектах критической инфраструктуры. GeoVision - тайваньский производитель с 25-летней историей, чьё оборудование, по данным lyrie.ai, развёрнуто в дата-центрах, больницах, аэропортах и госучреждениях.Скомпрометированная LPC-камера - это не просто видеопоток. Для атакующего это три вещи:
- Сетевой плацдарм в сегменте физической безопасности, обычно связанном со СКУД и системами управления зданием
- Доступ к видеоданным - отслеживание перемещений людей и транспорта, подмена потока или отключение записи
- Pivot-точка для lateral movement - если камеры и рабочие станции не разделены на уровне VLAN (а на практике в большинстве организаций именно так)
Место в цепочке атаки
В терминах MITRE ATT&CK цепочка строится так: Exploit Public-Facing Application (T1190, Initial Access) -> Unix Shell (T1059.004, Execution) -> Exploitation for Privilege Escalation (T1068) -> Web Shell (T1505.003, Persistence) -> Video Capture (T1125, Collection). При развитии атаки - External Remote Services (T1133) для постоянного доступа и дамп/etc/passwd, /etc/shadow (T1003.008) для сбора учётных данных с устройства.CVE-2026-42364 GeoVision: OS command injection в IP-камерах LPC2011/LPC2211
Механика инъекции и разбор CVSS-вектора
Уязвимость CWE-78 (OS Command Injection) сидит в CGI-обработчикеDdnsSetting.cgi на камерах GeoVision LPC2011/LPC2211 с прошивкой 1.10. DDNS - стандартная функция IP-камер для поддержания постоянного доменного имени при динамическом IP. Обработчик принимает параметры конфигурации DDNS через HTTP-запрос и передаёт их напрямую в системные команды без какой-либо санитизации.Атакующий встраивает метасимволы оболочки -
;, |, обратные кавычки, $(...) - в значения конфигурации DDNS. Прошивка крутится на embedded GNU/Linux, веб-сервер запущен с правами root (классика для таких устройств). Одна инъекция - и команда исполняется с максимальными привилегиями.CVSS 9.9 (CRITICAL), вектор
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H:- AV:N - атака удалённо по сети
- AC:L - сложность низкая, специальных условий нет
- PR:L - нужен аутентифицированный доступ к веб-интерфейсу
- UI:N - действий пользователя не требуется
- S:C (Changed) - импакт выходит за пределы веб-компонента, компрометируя всю ОС
- C:H/I:H/A:H - полное воздействие на конфиденциальность, целостность и доступность
EPSS для CVE-2026-42364 составляет 0.0161 с перцентилем 0.7297 - выше медианы среди всех CVE в базе FIRST.org. Наивысший показатель во всём кластере GeoVision, что указывает на повышенную вероятность реальной эксплуатации в течение 30 дней.
[Применимо: внешний пентест при экспозиции камеры в интернет, внутренний пентест при доступе к VLAN видеонаблюдения. Целевая прошивка: 1.10]
CVE-2026-42368: повышение привилегий во встроенном ПО камеры
Уязвимость CWE-266 (Incorrect Privilege Assignment) в веб-интерфейсе тех же камер GeoVision LPC2011/LPC2211 с прошивкой 1.10. Из описания NVD: "A specially crafted HTTP request can lead to execute priviledged operation. An attacker can visit a webpage to trigger this vulnerability""Специально сформированный HTTP-запрос может привести к выполнению привилегированных операций. Злоумышленник может посетить веб-страницу, чтобы воспользоваться этой уязвимостью." - для эксплуатации достаточно обратиться к определённой странице веб-интерфейса. Вот так просто.
CWE-266 описывает ситуацию, когда продукт неправильно назначает привилегии конкретному актору, создавая непредусмотренную сферу контроля. На embedded-устройствах это обычно: отсутствующая проверка авторизации на привилегированном эндпоинте, прямой доступ к административным URL или манипуляция параметрами HTTP-запроса для повышения роли.
CVSS 9.9 (CRITICAL), вектор идентичен CVE-2026-42364:
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Scope: Changed подтверждает - последствия выходят за пределы веб-интерфейса, атакующий с правами оператора получает полный административный контроль.EPSS: 0.0035, перцентиль 0.2678 - ниже медианы. Но в связке с CVE-2026-42364 эта уязвимость критична: повышение привилегий до администратора открывает доступ ко всем конфигурационным эндпоинтам, включая
DdnsSetting.cgi.По данным NVD, прошивка версии 1.2 маркирована как unaffected для CVE-2026-42368.
Эксплуатация уязвимостей камер наблюдения: пошаговая цепочка
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Метасимвол
; завершает системную команду настройки DDNS, а id исполняется как отдельная команда. На embedded Linux камеры ожидаемый результат - uid=0(root). Для blind-сценария - time-based payload: значение $(sleep 5) в параметре с замером задержки ответа.Этап 4: Эскалация через CVE-2026-42368. Если начальная сессия получена с минимальными привилегиями (оператор), обращение к привилегированным страницам веб-интерфейса позволяет повысить роль до администратора. После этого открывается полный набор конфигурационных эндпоинтов.
Этап 5: Закрепление и lateral movement. С root-доступом к embedded Linux камеры:
- Запись веб-шелла в директорию веб-сервера (T1505.003)
- Добавление SSH-ключа или включение telnet для постоянного доступа (T1133)
- Дамп
/etc/passwdи/etc/shadow(T1003.008) - пароли от камеры нередко совпадают с паролями других устройств в сети - Сканирование смежных сегментов - СКУД, серверы NVR, системы управления зданием
- Перехват или подмена видеопотока (T1125)
Когда техника НЕ работает
- Камера за WAF уровня приложений - метасимволы в POST-параметрах будут заблокированы. WAF перед камерой видеонаблюдения я встречал ровно один раз за всё время
- Прошивка обновлена выше версии 1.10 (по данным NVD, версия 1.2 - unaffected)
- IDS/IPS с сигнатурами command injection на границе сегмента камер
- Веб-интерфейс камеры недоступен по сети (нет маршрута)
- Не удалось получить аутентификацию: все альтернативные векторы из кластера (CVE-2026-42365, CVE-2026-42363, CVE-2026-42367) закрыты
Кластер уязвимостей IP-камер GeoVision 2026: полная картина
CVE-2026-42364 и CVE-2026-42368 - часть кластера из семи CVE, опубликованных одновременно:| CVE | Компонент | Тип уязвимости | CVSS | CWE |
|---|---|---|---|---|
| CVE-2026-42369 | GV-VMS V20 WebCam Server | Stack Overflow, RCE без аутентификации | 10.0 | CWE-787 |
| CVE-2026-42370 | GV-VMS V20 Login | Stack Overflow, RCE | 9.0 | CWE-787 |
| CVE-2026-42364 | LPC2011/2211 DdnsSetting.cgi | OS Command Injection | 9.9 | CWE-78 |
| CVE-2026-42368 | LPC2011/2211 Web Interface | Privilege Escalation | 9.9 | CWE-266 |
| CVE-2026-42363 | GV-IP Device Utility 9.0.5 | Утечка учётных данных | 9.3 | CWE-656 |
| CVE-2026-42365 | LPC2011/2211 Web Interface | Предсказуемые session cookies | 8.6 | CWE-341 |
| CVE-2026-42367 | LPC2011/2211 ssi.cgi | Утечка учётных данных | 6.5 | CWE-522 |
CVE-2026-42369 стоит разобрать отдельно: stack overflow (CWE-787) в компоненте WebCam Server программы GV-VMS V20, скомпилированном без ASLR. По данным lyrie.ai, переполнение происходит при декодировании base64 из заголовка Authorization в фиксированный 256-байтный буфер без проверки границ. Нет ASLR - адреса стека предсказуемы, для рабочего эксплоита утечка адресов не нужна. Неаутентифицированный HTTP-запрос к эндпоинту
gvapi с переполненным заголовком даёт выполнение кода от SYSTEM. CISA SSVC: Automatable = yes, Technical Impact = total. Если в организации помимо камер LPC используется GV-VMS - это второй независимый вектор полной компрометации.В кластере также присутствует CVE-2026-42366 (CWE-79, Reflected XSS, CVSS 7.4) в
ssi.cgi - может использоваться для захвата сессий операторов через crafted URL.Чеклист обнаружения и защиты IoT-камер GeoVision
- Провести инвентаризацию устройств GeoVision в сети -
nmap -sV -p 80,443,8080 <диапазон> --script http-title - Определить версию прошивки через веб-интерфейс - если 1.10, устройство уязвимо по обеим CVE
- Обновить прошивку до версии, не подверженной уязвимости (NVD маркирует 1.2 как unaffected для CVE-2026-42368; для всех CVE - проверить страницу загрузок GeoVision)
- Изолировать камеры в выделенный VLAN без маршрутизации в корпоративный сегмент
- Закрыть доступ к веб-интерфейсу камер из интернета - заблокировать порты 80/443/8080 на WAN-интерфейсе
- Сменить дефолтные учётные данные на всех устройствах GeoVision
- Настроить мониторинг HTTP-трафика к камерам: запросы к
DdnsSetting.cgiс символами;,|,$()в параметрах - индикатор попытки эксплуатации - Проверить логи на признаки уже состоявшейся компрометации: нетипичные исходящие соединения, изменения файловой системы, новые файлы в директории веб-сервера
- Если используется GV-VMS V20 - дополнительно ограничить доступ к порту WebCam Server (CVE-2026-42369, CVSS 10.0)
Последнее редактирование модератором: