Специалисты по кибербезопасности из компании Eclypsium представили на конференции DEF CON 33 принципиально новый тип угрозы под названием BadCam. Данная атака демонстрирует способность злоумышленников удаленно компрометировать веб-камеры и превращать их в скрытые инструменты для проведения BadUSB-атак без физического доступа к устройству.

Техническая сущность атаки BadCam

Уязвимость CVE-2025-4371 представляет собой первую задокументированную демонстрацию удаленного захвата USB-периферии на базе Linux с последующим использованием в злонамеренных целях. В отличие от традиционных BadUSB-атак, требующих предварительной подготовки специализированных устройств, BadCam позволяет трансформировать обычную веб-камеру в инструмент кибератак.

Принцип работы атаки основывается на способности скомпрометированного устройства эмулировать различные типы USB-девайсов, включая клавиатуры, сетевые карты или накопители. Это открывает возможности для скрытого выполнения команд, инъекции вредоносного кода и установления постоянного присутствия в целевой системе.

Уязвимые устройства и механизм эксплуатации

Исследователи выявили критические недостатки в веб-камерах Lenovo 510 FHD и Lenovo Performance FHD, прошивка которых разрабатывалась китайской компанией SigmaStar. Основные проблемы безопасности включают:

Отсутствие валидации прошивки и проверки цифровых подписей создает условия для полной компрометации устройств. Злоумышленник, получивший возможность удаленного выполнения кода в системе, может перепрошить подключенную камеру и переназначить ее функции без изменения внешнего вида или основной работоспособности.

Векторы первоначального заражения

Для развертывания атаки BadCam киберпреступники могут использовать известные уязвимости операционной системы, такие как CVE-2024-53104 в ядре Linux. После получения контроля над хост-системой злоумышленники развертывают вредоносную прошивку на подключенную USB-камеру.

Масштабы угрозы и потенциальные последствия

Особую опасность BadCam представляет способность обеспечивать постоянное закрепление в инфраструктуре даже после полной очистки и переустановки операционной системы. Скомпрометированная веб-камера сохраняет вредоносный функционал и может повторно заражать любые системы, к которым будет подключена в будущем.

Эта характеристика делает BadCam особенно опасной для корпоративных сред, где периферийные устройства часто перемещаются между рабочими станциями или используются в переговорных комнатах и общих пространствах.

Меры противодействия и рекомендации

После уведомления о выявленных проблемах в апреле 2025 года, компания Lenovo совместно с SigmaStar выпустила обновление прошивки версии 4.8.0, устраняющее критические уязвимости. Также был разработан специализированный инструмент для исправления проблем в уже развернутых устройствах.

Эксперты предупреждают, что аналогичные уязвимости могут присутствовать в других USB-устройствах под управлением Linux, что требует комплексного пересмотра подходов к безопасности периферийного оборудования. Организациям рекомендуется регулярно обновлять прошивку устройств, внедрять системы мониторинга USB-трафика и применять принципы нулевого доверия к подключаемому оборудованию.

Появление BadCam знаменует новую эру в развитии киберугроз, когда традиционно безопасная периферия становится потенциальным вектором атак. Данное исследование подчеркивает критическую важность комплексного подхода к кибербезопасности, учитывающего все компоненты IT-инфраструктуры, включая seemingly безобидные веб-камеры и другие USB-устройства.