Sicherheitslücke in Netzwerkkameras: Axis empfiehlt Firmware-Update

Peter Marwan,
Sicherheitslücke in Netzwerkkameras: Axis empfiehlt Firmware-Update (Bild: Axis Communications)

Die Lücke steckt in den Versionen 5.20 bis 6.20.X der Firmware. Sie macht Axis-Produkte angreifbar, auf die über das Internet zugegriffen werden kann. Angreifer könnten sie ausnutzen, um die Überwachungskamera zu missbrauchen.

Axis Communications hat Nutzer seiner über das Web steuerbaren Netzwerkkameras aufgefordert, die Firmware-Version zu überprüfen und gegebenenfalls dringend zu aktualisieren. Grund ist eine von einem unabhängigen Sicherheitsforscher entdeckte Lücke (PDF), die Angreifer ausnutzen könnten, um die Kontrolle über die Geräte zu übernehmen.

Betroffen sind Axis-Netzwerkkameras mit den Versionen 5.20 bis 6.20.X der Firmware. Außerdem ist laut Hersteller die Firmware der Türkontrollsysteme vor Version 1.45.0, die der Tür-Video-Kommunikationssysteme vor Version 5.85.1.2 und des Netzwerk-Hornlautsprechers vor Version 1.20.2 anfällig.

Die aktuellste, fehlerbereinigte Version der Firmware steht nach einer Registrierung auf der Axis-Support-Website zum Download bereit. Alternativ kann sie über das Axis Camera Management eingespielt werden. Download und Installation sollten umgehend vorgenommen werden: Der Sicherheitsforscher, der Axis über die Lücke informiert hatte, plant, diese am 18. Juli 2016 öffentlich bekannt zu machen.

Laut Axis besteht bei Geräten, die hinter einem geschützten Netzwerk, per Axis Video Hosting System (AHVS) verbundenen Netzwerkkameras und Kameras, die Teil der Axis-Companion-Lösung sind zwar ein geringeres Risiko, dass die Lücke ausgenutzt werden kann. Allerdings sollte dennoch auch bei diesen Geräten die Firmware aktualisiert werden.

“Obwohl die meisten installierten Kameras sich vermutlich hinter einem geschützten Netzwerk befinden und die Wahrscheinlichkeit, betroffen zu sein gering ist, sehen wir die Lücke als kritisch an und empfehlen, dass Benutzer ein kontrolliertes Firmware-Upgrade der betreffenden Produkte vornehmen. Dabei sollten sie den Hardening Guide befolgen, um mögliche Sicherheitslücken weiter zu reduzieren”, erklärt Fred Juhlin, Senior Cybersecurity Analyst bei Axis Communications, in einer Pressemitteilung

Axis kann neben der deutschen Firma Mobotix als Marktführer im Bereich professioneller, netzwerkbasierender Videoüberwachungssysteme bezeichnet werden. Zwar gibt es auch Installationen mit lediglich einer oder wenigen Axis-Kameras, etwa im Einzelhandel oder zur Überwachung von Büros oder Lagerflächen außerhalb der Geschäftszeiten, der Großteil der Geräte ist aber tatsächlich in Netzwerken integriert, auf die sich nicht so ohne weiteres zugreifen lässt und die von professionellen Administratoren betreut werden.

Anders sah das bei einer im Januar bekannt gewordenen Sicherheitslücke in IP-Überwachungskameras von Maginon aus, die zuvor im Wesentlichen in mehreren Aktionen über die Aldi-Filialen verkauft wurden. Davon waren zwar nur Nutzer betroffen, die bei der Einrichtung kein Passwort vergeben hatten, aber davon gab es offenbar genug.

Erschwerend kam hinzu, dass die Kamera in dem Fall automatisch eine Verbindung mit dem Internet herstellte. Es bestand dann die Gefahr, dass Unbefugte auf die Bilder zugreifen, das WLAN-Passwort einsehen und unter Umständen auch das Passwort für das E-Mail-Konto erfahren konnten.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.