Kritische Sicherheitslücke CVE-2025-7742 in LG Innotek Kameras bleibt ungepatcht

CyberSecureFox 🦊

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine **kritische Warnung** bezüglich einer schwerwiegenden Sicherheitslücke in Überwachungskameras des Modells LG Innotek LNV5110R veröffentlicht. Besonders alarmierend ist die Tatsache, dass der Hersteller sich weigert, ein Sicherheitsupdate bereitzustellen, wodurch weltweit etwa 1.300 Geräte schutzlos Cyberangriffen ausgesetzt bleiben.

Analyse der kritischen Schwachstelle CVE-2025-7742

Die identifizierte Sicherheitslücke trägt die Bezeichnung **CVE-2025-7742** und wird als kritische Authentifizierungsschwachstelle eingestuft. Angreifer können diese Vulnerability ausnutzen, um Autorisierungsmechanismen zu umgehen und vollständigen administrativen Zugriff auf das Gerät zu erlangen, ohne gültige Anmeldedaten eingeben zu müssen.

Der Angriffsvektor basiert auf der Möglichkeit, *schädliche Daten über standardmäßige HTTP POST-Requests* in den nicht-flüchtigen Speicher der Kamera zu laden. Dies ermöglicht es Cyberkriminellen, beliebigen Code mit höchsten Systemprivilegien remote auszuführen und die vollständige Kontrolle über das Gerät zu übernehmen.

Betroffene Geräte und Sicherheitsrisiken

Sicherheitsforscher Suvik Kandar von MicroSec, der diese Schwachstelle ursprünglich entdeckte, führte eine umfassende Analyse der im Internet exponierten verwundbaren Geräte durch. Seine Untersuchungen ergaben, dass **circa 1.300 LG Innotek LNV5110R Kameras** über das globale Netzwerk für Remote-Angriffe erreichbar sind.

Besonders besorgniserregend ist der Einsatz dieser verwundbaren Kameras in *kritischer Infrastruktur kommerzieller Einrichtungen* weltweit. Dies schafft erhebliche Risiken nicht nur für die Vertraulichkeit von Videodaten, sondern auch für die Gesamtsicherheit der überwachten Objekte.

Mögliche Angriffsvektoren und Folgen

Cybersecurity-Experten haben mehrere kritische Exploitationsmöglichkeiten identifiziert. Erstens können Angreifer *unbefugten Zugang zu Live-Videostreams* erlangen, was Datenschutzverletzungen zur Folge hat und für Aufklärungsaktivitäten missbraucht werden kann.

Zweitens besteht die Möglichkeit einer kompletten Systemkompromittierung, bei der Angreifer die Videoüberwachungsanlage vollständig lahmlegen können. Das gefährlichste Szenario ist jedoch die Nutzung kompromittierter Kameras als Einstiegspunkt für Lateral Movement in interne Unternehmensnetzwerke.

Herstellerverweigerung sorgt für Kontroverse

Nach Erhalt der CISA-Benachrichtigung über die kritische Sicherheitslücke traf LG Innotek eine Entscheidung, die in der Cybersecurity-Community auf scharfe Kritik stößt. **Das Unternehmen lehnte offiziell die Bereitstellung eines Sicherheitspatches ab** und begründete dies mit dem abgelaufenen Produktsupport-Zeitraum.

Diese Haltung des Herstellers schafft einen problematischen Präzedenzfall und demonstriert eine bedenkliche Missachtung der Cybersicherheit von Anwendern und kritischer Infrastruktur. Sicherheitsexperten warnen, dass solche Praktiken Cyberkriminelle dazu ermutigen könnten, verstärkt nach Schwachstellen in veralteten, aber noch genutzten IoT-Geräten zu suchen.

Sofortmaßnahmen und Migrationsstrategie

Angesichts des fehlenden offiziellen Patches müssen Organisationen, die betroffene LG Innotek LNV5110R Kameras einsetzen, *umgehend Schutzmaßnahmen implementieren*. Die wichtigste Sofortmaßnahme ist die komplette Trennung der Geräte vom Internet und deren Betrieb ausschließlich in isolierten lokalen Netzwerken.

Als langfristige Lösung sollten Unternehmen eine vollständige Gerätemigration zu modernen Überwachungssystemen mit aktiver Sicherheitsunterstützung planen. Bei der Auswahl neuer Hardware ist es entscheidend, die Cybersecurity-Reputation des Herstellers und dessen Engagement für langfristige Sicherheitsupdates zu berücksichtigen.

Dieser Vorfall unterstreicht die Notwendigkeit regelmäßiger IoT-Sicherheitsaudits in Unternehmensinfrastrukturen und die Bedeutung der Zusammenarbeit mit verantwortungsbewussten Herstellern. Organisationen sollten klare Richtlinien für das Management veralteter Geräte entwickeln und proaktive Ersatzstrategien implementieren, um ähnliche Sicherheitsrisiken künftig zu vermeiden.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.