Професійні камери відеоспостереження TP-Link VIGI C та VIGI InSight отримали критичне оновлення безпеки після виявлення вразливості CVE-2026-0629, яка дозволяла зловмиснику повністю перехопити контроль над пристроєм. За шкалою CVSS (стандартна система оцінки критичності вразливостей) ця помилка отримала бал 8,7 із 10, що відносить її до категорії серйозних загроз для інфраструктур відеоспостереження.
Що відомо про CVE-2026-0629 у TP-Link VIGI
Уразливість виявив співзасновник та технічний директор IoT-компанії Redinent Innovations Арко Дхар (Arko Dhar). Проблема крилася в реалізації механізму відновлення пароля у локальному веб-інтерфейсі адміністрування камер TP-Link VIGI. Помилка дозволяла обійти автентифікацію і скинути пароль адміністратора без будь-якої реальної перевірки прав доступу з боку прошивки пристрою.
Практично це означало, що атакуючому в локальній мережі було достатньо сформувати спеціальний HTTP‑запит і «підмінити» стан на стороні клієнта. Після цього він отримував повний адміністративний доступ до камери: перегляд і керування живим відеопотоком, доступ до архівних записів, зміна мережевих налаштувань та конфігурацій інтеграцій з іншими системами безпеки.
Як працював обхід автентифікації у веб-інтерфейсі
Класична помилка в системах відновлення пароля полягає в тому, що частина перевірок виконується лише на стороні браузера (клієнта), а не на сервері. У випадку CVE-2026-0629 камера довіряла некоректно сформованим запитам, не здійснюючи повноцінної серверної валідації. Це відкривало можливість ініціювати скидання облікового запису адміністратора без знання поточного пароля та без підтвердження особи власника.
Подібні помилки є типовими для сегмента IoT‑пристроїв, де виробники часто пріоритезують функціональність та зручність встановлення, а механізми автентифікації й контролю доступу реалізують спрощено. У поєднанні з прямою доступністю таких пристроїв з інтернету це створює придатний плацдарм для масових атак.
Локальна проти віддаленої атаки: масштаби ризиків
За оцінкою дослідника, експлуатація вразливості була можлива не лише в локальній мережі, а й віддалено, якщо веб-інтерфейс камер було опубліковано в інтернет без належного захисту. Під час сканування мережі у жовтні 2025 року було виявлено понад 2500 публічно доступних камер однієї моделі, потенційно вразливих для цієї атаки. Отже, реальна кількість таких пристроїв по всьому світу може бути значно більшою.
Серія камер TP-Link VIGI активно використовується в корпоративному сегменті більш ніж у 36 країнах, включно з державами Європи, Південно-Східної Азії, Північної та Південної Америки. Для організацій це означає, що експлуатація уразливості могла призвести не лише до несанкціонованого доступу до відео, а й до використання камер як точки входу у внутрішню мережу для подальшого розвитку атаки.
TP-Link та системний характер проблем безпеки IoT
За даними каталогу Known Exploited Vulnerabilities (KEV) Агентства з кібербезпеки та безпеки інфраструктури США (CISA), за останні роки зафіксовано низку реально експлуатованих вразливостей у мережевому обладнанні TP-Link, насамперед у маршрутизаторах і репітерах. Ці пристрої широко застосовуються як у домашніх, так і в корпоративних мережах, і часто стають частиною ботнетів або платформ для DDoS‑атак.
Поява критичної вразливості вже у лінійці професійних камер відеоспостереження демонструє, що проблема безпеки IoT має системний характер. Камери, роутери, контролери «розумних» будівель та інше мережеве обладнання дедалі частіше використовуються в атаках — від промислового шпигунства до саботажу критичної інфраструктури.
Рекомендації щодо захисту систем відеоспостереження TP-Link VIGI
Оновлення прошивки та базова гігієна безпеки
1. Негайно оновити прошивку. Встановити останні версії програмного забезпечення для TP-Link VIGI C та VIGI InSight, у яких виправлено CVE-2026-0629. Регулярне оновлення — критично важливий елемент безпеки IoT‑інфраструктури.
2. Заборонити прямий доступ з інтернету. Не публікувати веб-інтерфейс камер безпосередньо в мережу. Для віддаленого доступу слід використовувати VPN, корпоративні портали або захищені шлюзи, а також фільтрувати трафік за допомогою міжмережевих екранів.
Мережна сегментація та контроль доступу
3. Сегментувати мережу. Розміщувати камери в окремому VLAN із суворими політиками доступу до критично важливих бізнес-систем. Це обмежує наслідки навіть успішної компрометації окремого пристрою.
4. Відмовитися від стандартних і слабких паролів. Використовувати унікальні, складні паролі для всіх облікових записів адміністрування та, за можливості, вмикати двофакторну автентифікацію.
5. Проводити регулярний аудит. Періодично сканувати як зовнішню, так і внутрішню інфраструктуру на предмет відкритих веб-інтерфейсів, застарілої прошивки та відомих вразливостей, орієнтуючись, зокрема, на каталоги на кшталт CISA KEV та публічні бази CVE.
Інцидент із CVE-2026-0629 наочно демонструє, що системи відеоспостереження — це не просто «камери на стіні», а повноцінні мережеві вузли, які потребують такого ж рівня уваги до кібербезпеки, як сервери та робочі станції. Організаціям варто вже зараз переглянути архітектуру своїх IoT‑ та відеоінфраструктур, впровадити політику регулярних оновлень, сегментації та моніторингу. Чим раніше буде сформовано системний підхід до захисту пристроїв відеоспостереження, тим нижчим буде ризик витоку конфіденційних даних, несанкціонованого спостереження та використання цих систем як плацдарму для складніших кібератак.
