Sicherheitslücke in Netzwerkkameras: Axis empfiehlt Firmware-Update

Axis Communications hat Nutzer seiner über das Web steuerbaren Netzwerkkameras aufgefordert, die Firmware-Version zu überprüfen und gegebenenfalls dringend zu aktualisieren. Grund ist eine von einem unabhängigen Sicherheitsforscher entdeckte Lücke (PDF), die Angreifer ausnutzen könnten, um die Kontrolle über die Geräte zu übernehmen.

Betroffen sind Axis-Netzwerkkameras mit den Versionen 5.20 bis 6.20.X der Firmware. Außerdem ist laut Hersteller die Firmware der Türkontrollsysteme vor Version 1.45.0, die der Tür-Video-Kommunikationssysteme vor Version 5.85.1.2 und des Netzwerk-Hornlautsprechers vor Version 1.20.2 anfällig.

Die aktuellste, fehlerbereinigte Version der Firmware steht nach einer Registrierung auf der Axis-Support-Website zum Download bereit. Alternativ kann sie über das Axis Camera Management eingespielt werden. Download und Installation sollten umgehend vorgenommen werden: Der Sicherheitsforscher, der Axis über die Lücke informiert hatte, plant, diese am 18. Juli 2016 öffentlich bekannt zu machen.

Laut Axis besteht bei Geräten, die hinter einem geschützten Netzwerk, per Axis Video Hosting System (AHVS) verbundenen Netzwerkkameras und Kameras, die Teil der Axis-Companion-Lösung sind zwar ein geringeres Risiko, dass die Lücke ausgenutzt werden kann. Allerdings sollte dennoch auch bei diesen Geräten die Firmware aktualisiert werden.

“Obwohl die meisten installierten Kameras sich vermutlich hinter einem geschützten Netzwerk befinden und die Wahrscheinlichkeit, betroffen zu sein gering ist, sehen wir die Lücke als kritisch an und empfehlen, dass Benutzer ein kontrolliertes Firmware-Upgrade der betreffenden Produkte vornehmen. Dabei sollten sie den Hardening Guide befolgen, um mögliche Sicherheitslücken weiter zu reduzieren”, erklärt Fred Juhlin, Senior Cybersecurity Analyst bei Axis Communications, in einer Pressemitteilung

Axis kann neben der deutschen Firma Mobotix als Marktführer im Bereich professioneller, netzwerkbasierender Videoüberwachungssysteme bezeichnet werden. Zwar gibt es auch Installationen mit lediglich einer oder wenigen Axis-Kameras, etwa im Einzelhandel oder zur Überwachung von Büros oder Lagerflächen außerhalb der Geschäftszeiten, der Großteil der Geräte ist aber tatsächlich in Netzwerken integriert, auf die sich nicht so ohne weiteres zugreifen lässt und die von professionellen Administratoren betreut werden.

Anders sah das bei einer im Januar bekannt gewordenen Sicherheitslücke in IP-Überwachungskameras von Maginon aus, die zuvor im Wesentlichen in mehreren Aktionen über die Aldi-Filialen verkauft wurden. Davon waren zwar nur Nutzer betroffen, die bei der Einrichtung kein Passwort vergeben hatten, aber davon gab es offenbar genug.

Erschwerend kam hinzu, dass die Kamera in dem Fall automatisch eine Verbindung mit dem Internet herstellte. Es bestand dann die Gefahr, dass Unbefugte auf die Bilder zugreifen, das WLAN-Passwort einsehen und unter Umständen auch das Passwort für das E-Mail-Konto erfahren konnten.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Organisationsstruktur beeinflusst Cybersicherheit

Auf Basis einer Umfrage untersucht Sophos drei Organisationsszenarien und beurteilt deren Wirkung auf Cybercrime-Abwehr.

24 Stunden ago

Malware im März: Remcos löst CloudEyE ab

Neue Methode zur Verbreitung des Remote Access Trojaners (RAT) Remcos steht in Deutschland auf Platz…

24 Stunden ago

Künstliche Intelligenz in der Industrie 4.0: Chancen und Risiken

Maßnahmen zur Cyber-Sicherheit müssen sich darauf konzentrieren, KI-Systeme vor Angriffen zu schütze, sagt Thomas Boele…

2 Tagen ago

KI macht WordPress sicherer

WordPress ist die Nummer Eins für Webseiten-Software, scheint aber im Fokus von Hackern zu stehen.

2 Tagen ago

IBM sieht Europa im Auge des Cybersturms

Kein anderer Kontinent verzeichne ähnlich viele Angriffe auf seine IT-Systeme. Besonders ernst sei die Lage…

3 Tagen ago

REWE-Geschäftsführer bekommt digitalen Zwilling

Als Avatar soll Chief Digital Information Officer Robert Zores neuen Mitarbeitenden beim Onboarding helfen.

3 Tagen ago