Профессиональные камеры видеонаблюдения TP-Link серий VIGI C и VIGI InSight получили критическое обновление безопасности: производитель устранил опасную уязвимость CVE-2026-0629, позволявшую злоумышленникам перехватывать полный контроль над устройствами. Проблема затрагивала локальный веб-интерфейс администрирования и получила высокий балл по шкале CVSS — 8,7 из 10, что относит ее к числу серьезных рисков для инфраструктуры видеонаблюдения.
Критическая уязвимость CVE-2026-0629 в камерах TP-Link VIGI
Уязвимость была обнаружена сооснователем и техническим директором IoT-компании Redinent Innovations Арко Дхаром (Arko Dhar). Ошибка заключалась в реализации функции восстановления пароля в локальном веб-ин интерфейсе камер. По данным TP-Link, баг позволял обойти аутентификацию и выполнить сброс пароля администратора без каких-либо проверок со стороны устройства.
Фактически атакующему в локальной сети было достаточно отправить специально сформированный запрос и «подменить» состояние на стороне клиента, после чего он получал полный административный доступ к камере: к видеопотоку в реальном времени, архивным записям, настройкам сети и интеграциям с другими системами безопасности.
Как работает обход аутентификации в веб-интерфейсе камер
Классическая ошибка в механизмах восстановления пароля часто связана с тем, что проверка прав выполняется только на стороне браузера (клиента), а не на стороне сервера. В случае CVE-2026-0629 злоумышленник мог воспользоваться недостаточной проверкой запросов со стороны прошивки камеры и инициировать сброс аккаунта администратора без знания текущего пароля и без подтверждения личности.
Такие баги типичны для сегмента IoT-устройств: производители концентрируются на функциональности и удобстве, а механизмы аутентификации и контроля доступа оказываются реализованы упрощенно. Это создает благоприятные условия для атак, особенно когда устройства напрямую доступны из интернета.
Риски для организаций и масштабы потенциальных атак
Исследователь отметил, что уязвимость может быть использована не только в локальной сети, но и удаленно, если веб-интерфейс камер открыт в интернет. Когда проблема была обнаружена в октябре 2025 года, в ходе сканирования исследователь нашел более 2500 доступных из сети камер, потенциально подверженных атаке. По его словам, поиск велся лишь по одной конкретной модели, поэтому реальное количество уязвимых устройств, вероятно, существенно выше.
Камеры серии VIGI активно применяются в бизнес-сегменте более чем в 36 странах мира, в том числе в Европе, Юго-Восточной Азии, Северной и Южной Америке. Для компаний это означает, что через эксплуатацию такой уязвимости злоумышленники могли не только получать доступ к видеопотокам, но и использовать камеры как точку входа во внутреннюю сеть, организуя дальнейшее продвижение атаки.
TP-Link и история атак на сетевое оборудование
По данным каталога Known Exploited Vulnerabilities Агентства по кибербезопасности и безопасности инфраструктуры США (CISA), в последние годы было зафиксировано несколько реально эксплуатируемых уязвимостей в продуктах TP-Link. В основном они касались маршрутизаторов и репитеров, которые активно используются как в домашних, так и корпоративных сетях.
Появление критической уязвимости уже в линейке профессиональных камер видеонаблюдения показывает, что проблема безопасности IoT-устройств носит системный характер. Камеры, роутеры, контроллеры «умных» зданий и прочее сетевое оборудование часто становятся частью атак: от шпионажа до развертывания ботнетов и DDoS-кампаний.
Рекомендации по защите инфраструктуры видеонаблюдения
Организациям, использующим камеры TP-Link VIGI C и VIGI InSight, важно оперативно выполнить следующие шаги:
1. Обновить прошивку. Установить последние версии фирменного ПО, в которых устранена уязвимость CVE-2026-0629. Регулярное обновление — базовый, но критически важный элемент защиты IoT.
2. Ограничить удаленный доступ. Не публиковать веб-интерфейс камер напрямую в интернет. Использовать VPN, корпоративные порталы доступа или отдельные шлюзы, а также фильтровать трафик через файрвол.
3. Сегментировать сеть. Размещать камеры видеонаблюдения в отдельном сетевом сегменте (VLAN), ограничив прямой доступ к ключевым бизнес-системам. Это снижает ущерб даже при успешной компрометации камеры.
4. Отказаться от стандартных и слабых паролей. Использовать уникальные, сложные пароли для всех учетных записей администрирования и при возможности включать двухфакторную аутентификацию.
5. Проводить регулярный аудит. Периодически сканировать внешнюю и внутреннюю инфраструктуру на предмет открытых веб-интерфейсов, устаревшей прошивки и известных уязвимостей, ориентируясь, в том числе, на каталоги вроде CISA KEV.
Инцидент с CVE-2026-0629 еще раз подчеркивает: системы видеонаблюдения — это не просто «камеры на стене», а полноценные сетевые устройства, которые требуют такого же уровня внимания к кибербезопасности, как серверы и рабочие станции. Чем раньше компании выстроят системный подход к защите IoT и видеонаблюдения, тем ниже будет риск утечки конфиденциальной информации, саботажа и скрытого наблюдения за бизнес-процессами.
