Zero-Day-Sicherheitslücken in PTZ-Kameras von ValueHD Corporation

Das Unternehmen Google veröffentlichte am 1. November 2024 eine Sicherheitsmeldung zu verschiedenen Zero-Day-Schwachstellen. Die Sicherheitslücken ermittelte Google mittels einer KI-gestützten Analyse in Zusammenarbeit mit dem IT-Sicherheitsunternehmen Greynoise. Im Zuge dieser Untersuchung stießen beide Firmen auf zwei kritische Zero-Day-Schwachstellen in PTZ-Kameras des Herstellers VHD.

Die Lücke CVE-2024-8957 besitzt einen CVSS-Score von 9.8/10 und CVE-2024-8956 einen Score von 9.1/10. Sie ermöglichen Angreifenden, sowohl Authentifizierungsmechanismen zu umgehen als auch Remote Code Execution (RCE) herbeizuführen. Laut der Analyse von Google und Greynoise seien beide Schwachstellen bereits aktiv von Angreifenden ausgenutzt worden.

Der Hersteller der hochpreisigen PTZ-Kameras, VHD, äußerte sich bisher nicht zu den gefundenen Sicherheitslücken. Zudem ist unklar, ob und wann VHD abgesicherte Firmware-Versionen bereitstellt.

• Prüfen Sie regelmäßig, ob VHD abgesicherte Versionen der PTZ-Kamera-Firmware Ihres Geräts veröffentlicht. 
• Sobald eine abgesicherte Firmware-Version vorliegt, installieren Sie diese umgehend.