| Дата премьеры системы: | 2002/09 |
| Дата последнего релиза: | 2022/06 |
| Технологии: | Системы видеонаблюдения |
Основная статья: Открытое программное обеспечение (Open Source)
ZoneMinder — свободное программное обеспечение для организации видеонаблюдения, распространяемое под лицензией GNU GPL.
2022: Уязвимости в системе видеонаблюдения ZoneMinder 1.36.14
28 июня 2022 года компания Positive Technologies сообщила о том, что их сотрудник Илья Яценко обнаружил две уязвимости в системе видеонаблюдения с открытым исходным кодом ZoneMinder. Продукт применяется для построения корпоративных охранных систем и установки домашнего видеонаблюдения. Производитель выпустил обновление 1.36.16, устраняющее эти уязвимости.
Проблемы выявлены в ZoneMinder версии 1.36.14. Первая и наиболее опасная уязвимость (9,1 балла по шкале CVSS 3.0) позволяет злоумышленнику при аутентификации от имени администратора выполнить удаленное выполнение кода (RCE) на узле, где запущено веб-приложение. В результате нарушитель может получить доступ во внутреннюю сеть. Кроме того, после аутентификации атакующий получает доступ к видеопотоку.
 | «Это распространенное бесплатное решение для установки системы видеонаблюдения. Оно используется и дома, и в компаниях, в том числе на промышленных предприятиях. Согласно нашим оценкам, наибольшее число пользователей ПО — в США, Польше, Италии, Германии, Люксембурге и России. В некоторых случаях администраторы позволяют подключиться к ZoneMinder без аутентификации, что весьма опасно: злоумышленник может воспользоваться такими системами, как Shodan, для поиска доступных в интернете узлов с установленным ZoneMinder», рассказал Илья Яценко |  |
Доступ к видеоданным может обеспечить злоумышленника сведениями о режиме работы сотрудников, службы охраны и о внутреннем устройстве здания. Если ZoneMinder установлен дома, существует риск перепродажи доступа в даркнете или включения системы видеонаблюдения в каталоги незащищенных видеокамер, к примеру Insecam. Сервис был создан для демонстрации важности настроек безопасности, но также может быть использован преступниками.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 
Вторая уязвимость (4,8 балла по шкале CVSS 3.0) связана с отсутствием предварительной обработки пользовательского ввода в веб-приложении ZoneMinder 1.36.14. Она относится к типу «Хранимая XSS» и может привести к получению злоумышленниками доступа к конфиденциальной информации, например сессий пользователей, на узле, где запущено веб-приложение.
По словам исследователя, среди причин появления подобных уязвимостей может быть как невнимательность разработчиков при написании кода, так и использование устаревших технологий (необновленных версий языка) и недостаточно тщательное проведение код-ревью.
Своевременно определять попытки эксплуатации уязвимости в сети поможет анализ трафика — продукты класса NTA (network traffic analysis) и промышленного NTA, например PT Network Attack Discovery (PT NAD).
Подрядчики-лидеры по количеству проектов
Ростелеком (54) VizorLabs (Визорлабс) (41) Вокорд (Vocord) (38) ВидеоМатрикс (Videomatrix) (26) ЭР-Телеком Холдинг (Дом.ру) (22) Другие (729) Ростелеком (7) ВидеоМатрикс (Videomatrix) (7) VizorLabs (Визорлабс) (5) Талмер (Talmer) (4) Hikvision Russia (3) Другие (63) VizorLabs (Визорлабс) (11) ВидеоМатрикс (Videomatrix) (7) Мобильные ТелеСистемы (МТС) (5) НИИПТ Растр — Научно-исследовательский институт промышленного телевидения (4) Nord Clan (Норд Клан) (4) Другие (44)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Вокорд (Vocord) (12, 43) VizorLabs (Визорлабс) (8, 40) ВидеоМатрикс (Videomatrix) (16, 27) Ростелеком (7, 27) ЭЛВИС-НеоТек (12, 18) Другие (645, 305) ВидеоМатрикс (Videomatrix) (7, 7) Ростелеком (4, 6) Hikvision (Хиквижн) (3, 5) VizorLabs (Визорлабс) (2, 5) ISS (Intelligent Security Systems) Интеллектуальные системы безопасности (2, 3) Другие (11, 16) VizorLabs (Визорлабс) (7, 11) ВидеоМатрикс (Videomatrix) (6, 7) Nord Clan (Норд Клан) (1, 2) НИИПТ Растр — Научно-исследовательский институт промышленного телевидения (1, 2) Департамент здравоохранения города Москвы (1, 2) Другие (12, 12) VizorLabs (Визорлабс) (4, 13) Технологии безопасности дорожного движения (ТБДД) (1, 3) РИР (Росатом Инфраструктурные решения) (1, 2) Ситроникс КТ (ранее Кронштадт Технологии) (1, 2) Nord Clan (Норд Клан) (1, 2) Другие (8, 10)Распределение систем по количеству проектов, не включая партнерские решения
Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 24 ИСБ Eselta - 16 Vocord Traffic - 16 ЦРТ: Визирь - 14 Vocord FaceControl - 13 Другие 376 Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 4 Ростелеком: Умный дом Видеонаблюдение - 3 Hikvision HikCentral - 3 Nord Clan: RDetector - 3 ЦРТ: Визирь - 2 Другие 25 Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 6 Сервис круглосуточного видеонаблюдения за новорожденными онлайн - 2 НИИПТ Растр: Цифровые термостойкие системы видеонаблюдения - 2 Nord Clan: RDetector - 2 Vmx SILA: HSE - 2 Другие 21 Визорлабс Контроль ОТ и ПБ (VizorLabs Health & Safety) - 9 ТБДД: Азимут Комплексы фотовидеофиксации - 3 Softlogic: SC-iMVS-RM3 Автокомплекс нейросетевого наблюдения для контроля объектов дорожной инфраструктуры - 2 Vizorlabs Платформенное решение видеоаналитики - 2 НИИПТ Растр: Цифровые термостойкие системы видеонаблюдения - 2 Другие 14 
