Vivotek’in eski ürün yazılımındaki, kimliği doğrulanmamış saldırganların kök ayrıcalıklarıyla rastgele komutlar yürütmesine olanak tanıyan kritik bir uzaktan kod ekleme güvenlik açığı.
CVE-2026-22755 olarak takip edilen güvenlik açığı, düzinelerce kamera modelini etkiliyor ve eski gözetim altyapısına güvenen kuruluşlar için önemli riskler oluşturuyor.
Güvenlik açığı, kullanıcı tarafından sağlanan dosya adlarının system() çağrısına iletilmeden önce temizlenmemiş bir snprintf() işlevi aracılığıyla işlendiği upload_map.cgi komut dosyasında bulunmaktadır.
Bu, saldırganların noktalı virgül gibi meta karakterler içeren özel hazırlanmış dosya adları aracılığıyla kabuk komutları eklemesine olanak tanır.
Vivotek Güvenlik Açığı
Akamai araştırmacıları, Vivotek’in eski kameralarının varsayılan olarak parola korumasına sahip olmadığını ve kimlik doğrulama engellerini ortadan kaldırdığını keşfetti.
Bu istismar beş özel koşul gerektirir: dosya boyutunun 5 MB’ın altında olması, ürün yazılımı doğrulamasının atlanması ve sağlam bir /usr/sbin/confclient ikili dosyası.
Standart olmayan web sunucusu ortam değişkenleri ve file_manager.cgi yerine upload_map.cgi üzerinden erişim.
Araştırmacılar, doğrulama kontrollerini atlamak için uygun sihirli baytlarla (FF V FF FF üstbilgisi ve FF K FF FF altbilgisi) geçerli donanım yazılımı görüntüleri üreten bir bash betiği oluşturdu.
Saldırganlar, POST_FILE_NAME=”test_firmware.bin; id;” dahil olmak üzere ortam değişkenlerini ayarlayarak, id komutunun 0 (kök) kullanıcı kimliğini gösterdiği kavram kanıtlama gösterileriyle kanıtlandığı gibi, kök kullanıcı olarak komut yürütmeyi tetikler.
Güvenlik açığı, birden fazla ürün grubundaki 36 kamera modelini etkiliyor.
| Modeli Serisi | Etkilenen Firmware |
|---|---|
| FD8365, FD9165, FD9371 | 0100a–0125c |
| FE9180, FE9191 | 0100a–0125c |
| IB9365, IP9165, IP9171 | 0100a–0125c |
| MA9321, MS9390, TB9330 | 0100a–0125c |
Saldırı Senaryosu
Saldırgan, dosya adına katıştırılmış bir komut içeren kötü amaçlı bir ürün yazılımı dosyasını uzaktan yükleyebilir.
Güvenlik açığı bulunan upload_map tarafından işlendiğinde. Bir CGI betiğinde, kabuk meta karakteri komut yürütmeyi tetikler.
Ortaya çıkan veri, kök ayrıcalıklarıyla yürütülür ve tam sistem güvenliğinin aşılmasına, yanal ağ hareketine, botnet kurulumuna veya veri sızmasına olanak tanır.
Akamai’ye göre kuruluşlar, istismar girişimlerini tanımlamak için aşağıdaki YARA kuralını kullanarak ağ düzeyinde algılama uygulamalıdır:
rule CVE_2026_22755_Vivotek_upload
{
meta:
description = "Detects upload_map.cgi requests with camid parameter"
strings:
$path = "/cgi-bin/admin/upload_map.cgi"
$param = "camid="
condition:
all of them
}Etkilenen kamera modelleri için ürün yazılımı güncellemelerine hemen öncelik verin. Eski kamera altyapısını izole etmek için ağ bölümlendirmesini uygulayın.
Kötü amaçlı upload_map.cgi istekleri için izinsiz giriş tespit imzalarını dağıtın. Dağıtılan savunmasız cihazları belirlemek için envanter denetimleri gerçekleştirin.
Şüpheli dosya yüklemelerini ve kamera yönetim arayüzlerine yapılan POST isteklerini izleyin.
Bu güvenlik açığı, özellikle kritik altyapı, sağlık hizmetleri ve kurumsal ortamlarda eski gözetim sistemlerini çalıştıran kuruluşlar için kritik bir IoT güvenlik riskini temsil ediyor.
Kök ayrıcalıklarına sahip, kimliği doğrulanmamış uzaktan kod yürütme, botnet tabanlı dağıtılmış hizmet reddi saldırıları yoluyla cihazın tamamen tehlikeye atılmasına ve olası ağ yayılımına olanak tanır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
