Ruim dertienhonderd beveiligingscamera’s van het merk LG Innotek blijken kwetsbaar voor aanvallen op afstand. Door een ernstige beveiligingsfout kunnen kwaadwillenden zonder inloggegevens de camera’s volledig overnemen. Het gaat om het model LND5110R, bedoeld voor zakelijk gebruik, zo meldt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA).

De fout, geregistreerd als CVE-2025-7742, maakt misbruik van een zogeheten authentication bypass. Hierdoor kan een aanvaller zonder authenticatie code uitvoeren met administratorrechten. De enige voorwaarde is dat de aanvaller het apparaat direct via internet kan benaderen.
Volgens beveiligingsonderzoeker Souvik Kandar, die de kwetsbaarheid ontdekte, is het mogelijk om op afstand een reverse shell te uploaden. Daarmee krijgt een aanvaller volledige controle over het systeem, kan Linux-commando’s uitvoeren en het apparaat gebruiken om verder het interne netwerk binnen te dringen. Uit scans blijkt dat wereldwijd zeker dertienhonderd van deze camera’s vanaf het internet bereikbaar zijn.

Fabrikant doet niets
LG Innotek heeft tegenover het CISA bevestigd dat de LND5110R inmiddels als end-of-life wordt beschouwd en dat er geen beveiligingsupdate meer zal verschijnen. Dat betekent dat het beveiligingslek niet zal worden verholpen door de fabrikant.
De camera’s worden volgens CISA ook ingezet binnen vitale sectoren, waardoor de kwetsbaarheid extra zorgwekkend is. De Amerikaanse dienst adviseert organisaties dan ook dringend om deze apparaten niet langer rechtstreeks via het internet toegankelijk te maken. Wanneer dat toch noodzakelijk is, wordt het gebruik van een virtueel privénetwerk (VPN) aanbevolen als minimale beveiligingsmaatregel.
Omdat LG geen actie meer onderneemt, ligt de verantwoordelijkheid nu volledig bij organisaties zelf om hun netwerken en apparatuur te beschermen tegen mogelijk misbruik.