CISA: уязвимость CVE-2025-7742 в снятых с продажи IP-камерах LG LNV5110R открывает злоумышленникам права администратора
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выпустило срочное предупреждение о критической уязвимости CVE-2025-7742 в уличных IP-камерах LG LNV5110R. Ошибка, оценённая в 8,3 балла по CVSS, позволяет удалённо обходить аутентификацию и запускать произвольные команды с полными правами администратора, что фактически отдаёт устройство под контроль злоумышленника.
Проблему обнаружил независимый исследователь Совик Кандар. Эксплойт реализуется через отправку специально сформированного запроса, который камера обрабатывает без должной проверки подлинности. После установки соединения атакующий может менять настройки, отключать видеопоток, скачивать или подменять записи и даже использовать узел как точку входа в корпоративную сеть. Особенно опасно то, что LNV5110R до сих пор установлены на объектах критической инфраструктуры, в коммерческих зданиях и системах городского видеонаблюдения по всему миру.
LG Innotek официально подтвердила наличие CVE-2025-7742, но выпускать исправление не планирует: модель снята с производства и более не поддерживается. CISA рекомендует администраторам немедленно изолировать камеры в отдельный сегмент сети, закрыть неиспользуемые порты, ограничить доступ через брандмауэр и рассмотреть ускоренную замену оборудования. Временной мерой может стать отключение HTTP-доступа и перевод управления на VPN, однако это не устраняет саму уязвимость.
LNV5110R — купольная камера с антивандальным корпусом, моторизованной оптикой 3–9 мм, функцией WDR и поддержкой работы при температурах до −40°C. Благодаря хорошему соотношению цены и характеристик модель активно закупалась с середины 2010-х, поэтому её парк остаётся значительным. Отсутствие обновлений прошивки превращает эти устройства в типичный «забытый» IoT-актив, который со временем становится лёгкой добычей для хакеров.
Инцидент вновь подчёркивает: каждая неактуализируемая IP-камера — потенциальный бэкдор. Эксперты советуют предприятиям пересмотреть инвентаризацию IoT-парка, установить сроки жизненного цикла и закладывать бюджет на своевременную замену устаревших узлов, пока ими не заинтересовались злоумышленники.
