CVE-2026-12174: Kritisk fejl i D-Link DCS-935L
Kritisk fejl i D-Link-kamera DCS-935L giver angribere fuld kontrol over enheden via netværket.
Hvad er det?
En sikkerhedsfejl er fundet i D-Link-kameraet DCS-935L (version 1.10.01). Fejlen ligger i den måde, kameraets indbyggede webserver behandler indkommende data på. En angriber kan sende en særligt udformet forespørgsel til kameraet over internettet og dermed få mulighed for at køre vilkårlig kode på enheden. Fejlen kaldes en format string-sårbarhed (en fejltype, hvor programmet ukritisk bruger brugerinput som en skabelon og derved åbner for manipulation af hukommelsen). Sårbarheden er offentliggjort og der findes offentligt tilgængeligt kode til at udnytte den.
Hvem rammer det?
Alle virksomheder og private der anvender D-Link DCS-935L-kameraet i version 1.10.01. Kameraet er et IP-overvågningskamera, der ofte bruges i små og mellemstore virksomheder til intern overvågning. Risikoen er særligt høj, hvis kameraet er tilgængeligt direkte fra internettet — men angreb kan også komme fra dit lokale netværk, hvis en anden enhed der er kompromitteret.
Hvad kan ske?
En angriber med blot et almindeligt brugernavn og password — eller ingen adgang overhovedet, afhængigt af konfiguration — kan udnytte fejlen til at overtage kameraet fuldstændigt. Det betyder, at angriberen kan:
- Se og optage alt, hvad kameraet filmer, uden at du ved det
- Slukke for overvågningen eller manipulere billederne
- Bruge kameraet som en springbræt ind i resten af dit netværk
- Gøre kameraet til en del af et botnet (et netværk af kaprede enheder brugt til angreb mod andre)
Hvor alvorligt er det?
Sårbarheden scorer 8.8 ud af 10 på den internationale CVSS-skala, hvilket kategoriserer den som alvorlig. Angrebet kræver blot lavt privilegieniveau, kan udføres over netværket uden fysisk adgang og kræver ingen handling fra dig som bruger. Konsekvenserne rammer fortrolighed, integritet og tilgængelighed fuldt ud. Dertil kommer, at der allerede er offentliggjort et fungerende angrebsværktøj (exploit), hvilket sænker tærsklen for angreb markant.
Hvad gør jeg nu?
Undersøg hurtigst muligt om din virksomhed bruger D-Link DCS-935L-kameraet. Hvis I gør det, skal I handle med det samme:
- Tag kameraet offline: Afbryd kameraets adgang til internettet straks, indtil en løsning er på plads. Gå ind i din router og bloker kameraets adgang, eller tag netværkskablet ud.
- Tjek firmwareversion: Undersøg om kameraet kører version 1.10.01. Det kan du typisk se via kameraets webgrænseflade under ‘Om’ eller ‘Firmware’.
- Søg efter patch: Besøg D-Links officielle supportside for DCS-935L og se, om der er udgivet en opdateret firmware. Installer den straks, hvis den findes.
- Vurdér EOL-status: DCS-935L er et ældre produkt — undersøg om D-Link fortsat understøtter det. Hvis ikke, bør I overveje at udskifte kameraet med en ny, understøttet model.
- Gennemgå netværksadgang: Sørg for, at ingen IoT-enheder (kameraer, printere, alarmsystemer) er direkte tilgængelige fra internettet uden firewall-beskyttelse og stærk adgangskode.
Handle inden for 24-48 timer
Da der allerede findes et offentliggjort angrebsværktøj til denne sårbarhed, og da D-Link DCS-935L sandsynligvis er et produkt uden aktiv support, anbefaler vi, at du øjeblikkeligt isolerer kameraet fra dit netværk. Brug ikke kameraet, før du har bekræftet, at der enten er udgivet en patch, eller at du har erstattet det med en understøttet model. Kontakt Auroa, hvis du er i tvivl om, hvordan du bedst beskytter dit netværk og dine overvågningsenheder.
Tidslinje
Konkrete eksempler
Angriber overtager kamera via internettet
En angriber scanner internettet efter D-Link DCS-935L-kameraer, der er tilgængelige på standard HTTP-port. Ved at sende en særligt udformet HTTP-forespørgsel med ondsindet format string-data til kameraets webserver opnår angriberen mulighed for at afvikle egne kommandoer på enheden. Kameraets live-feed kan herefter tilgås og manipuleres uden ejerens viden.
Kameraet bruges som indgang til virksomhedens netværk
Efter at have overtaget kameraet bruger angriberen det som et brohoved ind i virksomhedens interne netværk. Herfra kan angriberen kortlægge andre enheder, forsøge at tilgå filservere eller iværksætte et ransomware-angreb. Kameraet fungerer som en ubeskyttet bagdør, fordi det sjældent overvåges for usædvanlig aktivitet.
Kameraet kapres til botnet-angreb
En kriminell gruppe udnytter sårbarheden automatisk via et script, der scanner tusindvis af IP-adresser. De kompromitterede kameraer tilføjes til et botnet og bruges til at udføre DDoS-angreb (overbelastningsangreb) mod tredjeparter. Virksomhedens internetforbindelse kan i sådanne tilfælde blive inddraget i angreb mod andre, hvilket kan medføre juridiske og driftsmæssige konsekvenser.
Ofte stillede spørgsmål
Skal angriberen have adgang til vores netværk for at udnytte fejlen?
Nej, ikke nødvendigvis. Fejlen kan udnyttes over internettet, hvis kameraet er tilgængeligt udefra. Angriberen skal dog have et lavt niveau af adgang — eksempelvis et standardbrugernavn og -password. Mange kameraer sættes op med standardadgangskoder, som aldrig ændres, hvilket gør angrebet nemt at gennemføre.
Vi bruger kameraet kun internt — er vi stadig i fare?
Risikoen er lavere, men ikke fraværende. Hvis en anden enhed på dit interne netværk kompromitteres, kan en angriber derfra angribe kameraet. Det anbefales stadig at isolere og opdatere enheden hurtigst muligt.
Er der en officiel patch fra D-Link?
På tidspunktet for offentliggørelsen af sårbarheden (juni 2026) er der ikke bekræftet en officiel patch. DCS-935L er et ældre kamera, og D-Link har tidligere erklæret lignende modeller for end-of-life, hvilket betyder, at de ikke længere modtager sikkerhedsopdateringer. Tjek D-Links hjemmeside for den seneste status.
Hvad er en format string-sårbarhed?
Det er en fejl, hvor et program bruger data fra en bruger direkte som en formateringsskabelon i stedet for som simple data. Det kan give en angriber mulighed for at læse eller skrive i programmets hukommelse og i sidste ende overtage kontrol over systemet. Det er en velkendt og alvorlig fejltype i software.
Kan vi bare ændre adgangskoden og fortsætte med at bruge kameraet?
En stærk adgangskode reducerer risikoen en smule, men løser ikke den grundlæggende sårbarhed. Fejlen ligger i selve koden i kameraets firmware, og en angriber med selv lavt privilegieniveau kan stadig udnytte den. En adgangskodeændring er ikke tilstrækkelig beskyttelse alene.
Hvad bør vi erstatte kameraet med?
Vælg et IP-kamera fra en producent, der aktivt udgiver sikkerhedsopdateringer. Tjek, at modellen er i aktiv support, og at du kan opdatere firmwaren automatisk. Overvej desuden at placere alle overvågningskameraer i et separat netværkssegment (VLAN), så de ikke kan kommunikere direkte med resten af din it-infrastruktur.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A security vulnerability has been detected in D-Link DCS-935L 1.10.01. This issue affects the function snprintf of the file /web/cgi-bin/greece/rhea of the component HTTP Handler. Such manipulation of the argument data leads to format string. The attack may be launched remotely. The exploit has been disclosed publicly and may be used.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
