Популярные модели IP-камер производства Honeywell оказались подвержены серьезной уязвимости, позволяющей третьим лицам несанкционированно просматривать видеоконтент и получать полный контроль над устройством. Информацию об опасности опубликовало американское агентство кибербезопасности и инфраструктурной защиты CISA.
Уязвимости присвоен идентификатор CVE-2026-1670, её уровень опасности оценивается высокой оценкой CVSS 9.8. Основной проблемой является отсутствие аутентификации при доступе к важным функциям. Без входа в аккаунт злоумышленник способен дистанционно изменять email, привязанный к восстановлению пароля. Затем остаётся инициировать сброс пароля, чтобы завладеть аккаунтом владельца и наблюдать за трансляцией с камеры.
CISA подчеркивает, что проблема вызвана наличием открытого API, который доступен без авторизации. Через него можно поменять почтовый адрес, используемый для восстановления пароля, и тем самым незаконно овладеть контролем над камерой. Нарушение коснулось ряда устройств, включая модели серии I-HIB2PI-UL 2MP IP версии 6.1.22.1216, а также линейки SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0, PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0 и 25M IPC WDR_2MP_32M_PTZ_v2.0.
Компания Honeywell известна как крупный международный поставщик техники для охраны и наблюдения. Её продукция активно применяется в офисных зданиях, складских комплексах, производственных предприятиях и системах критически важных объектов. Среди клиентов бренда встречаются государственные учреждения и федеральные подрядчики. Предупреждение охватывает камеры средней ценовой категории, которые наиболее востребованы в малом и среднем бизнесе. Вместе с тем, некоторые из указанных устройств используются и на объектах с высокими требованиями к информационной безопасности.
Пока отсутствуют доказательства эксплуатации данной уязвимости хакерами, однако эксперты настоятельно рекомендуют ограничить прямой доступ таких устройств к сети Интернет, защитить их корпоративными файрволлами и обеспечить безопасный удалённый доступ. Сообщений о выпусках официальных уведомлений производителя касательно CVE-2026-1670 ещё не поступало. Пользователям затронутых устройств рекомендовано связаться с технической поддержкой Honeywell для выяснения подробностей и рекомендаций по обновлению.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Помните, какой сложной задачей было запускать игру Cyberpunk 2077 сразу после релиза в 2020 году, особенно на устаревших консолях? Теперь эта игра, известная своими высокими системными требованиями, доступна для запуска на некоторых топовых моделях смартфонов. Конечно, речь идёт исключительно о мощных устройствах, способных справиться с нагрузкой.
Визуальная языковая модель Alice AI VLM, созданная специалистами компании «Яндекс», достигла выдающихся успехов в международном сравнении инструментов обработки визуальной информации. Эта модель уверенно заняла вторую позицию в специализированном российском бенчмарке MWS Vision Bench, продемонстрировав превосходство над такими крупными международными проектами, как Gemini 2.5 Flash от Google, GPT-4.1 mini от OpenAI и Claude 4.5 Sonnet от Anthropic.
Китайская группа киберугроз (APT-группа), связанная с Китаем, осуществляла целенаправленную кампанию кибершпионажа, направленную против Турции, Китая и Индии. Целью группировки была доставка собственного ботнета MgBot посредством отравления запросов DNS.