TP-Link выпустила обновление прошивки для профессиональных камер видеонаблюдения серий VIGI C и VIGI InSight. Повод серьезный: уязвимость CVE-2026-0629 получила оценку 8,7 по шкале CVSS и в плохом сценарии позволяла злоумышленнику получить права администратора на устройстве. Речь не о редком сбое, а о проблеме в механизме восстановления доступа через встроенный интерфейс управления.
Суть уязвимости, как описывает производитель, в том, что сброс пароля администратора можно было провернуть из локальной сети, обходя нормальную проверку. Условно говоря, часть логики оказалась завязана на действия браузера и состояние на стороне клиента. В результате злоумышленник мог сбросить пароль и зайти в систему управления как администратор. Дальше открывается стандартный набор возможностей: изменение настроек, управление доступами и, что наиболее очевидно, просмотр видеопотока в реальном времени.
На проблему обратил внимание Арко Дхар, сооснователь и технический директор IoT-компании Redinent Innovations. Он подчеркивает, что эксплуатация дает полный контроль над камерой, включая доступ к живому видео и управлению функциями устройства. При этом исследователь отдельно предупреждал: если панель управления камерой доступна из интернета, то атака перестает быть локальной. В октябре 2025 года, когда он проверял экспозицию, ему попалось более 2500 камер, выставленных наружу. И это была проверка под одну модель, поэтому реальное число доступных извне устройств может быть выше.
Почему это важно именно для бизнеса? Потому что VIGI это не бытовая линейка, которую ставят дома ради удобства. Такие камеры чаще оказываются в магазинах, офисах, на складах и на объектах инфраструктуры, где видеонаблюдение является частью системы безопасности. В этом контуре риск обычно не ограничивается приватностью видео. Компрометированная камера может стать точкой, через которую злоумышленник изучает сеть и ищет, куда двигаться дальше, особенно если сегментации нет, а устройство подключено в общий контур.
По данным TP-Link, уязвимость затрагивает более 32 моделей. География у линейки широкая: камеры используются организациями более чем в 36 странах, прежде всего в Европе, Юго-Восточной Азии, Северной и Южной Америке. Это как раз тот класс устройств, где один неочевидный баг быстро превращается в масштабный риск, потому что камеры стоят массово и часто живут годами без обновлений.
TP-Link настоятельно рекомендует установить актуальную прошивку и не держать интерфейс управления доступным из интернета. В корпоративной среде это обычно решается простыми вещами: ограничением доступа к панели управления, разделением сети и мониторингом необычной активности. В истории с CVE-2026-0629 цена ошибки слишком высокая, чтобы откладывать это на потом.
