Sicherheitslücke bei TP-Link: Überwachungskameras per Passwort-Reset knackbar
Der Netzwerkgerätehersteller TP-Link warnt vor einer gefährlichen Sicherheitslücke in seinen Vigi-Überwachungskameras. Angreifer können diese laut Security Advisory des Herstellers(öffnet im neuen Fenster) ausnutzen, um aus der Ferne einen Admin-Zugriff auf anfällige Geräte zu erlangen und damit die vollständige Kontrolle zu übernehmen. Patches sind verfügbar und sollten zeitnah eingespielt werden, um möglichen Angriffen vorzubeugen.
Bei der besagten Sicherheitslücke handelt es sich um CVE-2026-0629(öffnet im neuen Fenster) . Mit einem CVSS-Wert von 8,7 verfügt diese über einen hohen Schweregrad. Laut Schwachstellenbeschreibung basiert die Lücke auf einem Bug in der Passwortwiederherstellungsfunktion der Webschnittstelle betroffener Kameras.
Angreifer können mittels CVE-2026-0629 das Admin-Passwort zurücksetzen, ohne dass eine Überprüfung erfolgt. Wie der Angriff im Detail funktioniert, schildert TP-Link nicht. Im Advisory ist lediglich von einer möglichen "Manipulation des clientseitigen Status" die Rede. Ist das Admin-Konto erfolgreich kompromittiert, so kann der Angreifer die jeweilige Kamera steuern und von dem Gerät aus weitere Angriffe starten.
Zahlreiche Modelle betroffen
Die Anzahl betroffener Sicherheitskameras umfasst zahlreiche verschiedene Modelle der Vigi-Modellreihe. TP-Link listet in seinem Advisory(öffnet im neuen Fenster) insgesamt 32 anfällige Kameramodelle auf. Wer eine Kamera des Herstellers im Einsatz hat, sollte prüfen, ob sein Modell vertreten ist und gegebenenfalls die Firmware aktualisieren. Die jeweils gepatchten Versionen sind ebenfalls in der Meldung von TP-Link zu finden.
Angreifer brauchen für die Ausnutzung von CVE-2026-0629 zwar einen Zugriff auf das lokale Netzwerk, mit dem die anvisierte Kamera verbunden ist. Der Entdecker der Lücke, Arko Dhar von der indischen Cybersecurityfirma Redinent Innovations, warnte jedoch(öffnet im neuen Fenster) , er habe von einem der betroffenen Kameramodelle über 2.500 direkt über das Internet erreichbare Geräte gefunden.
Die tatsächliche Anzahl der online zugänglichen Vigi-Kameras dürfte angesichts der 32 anfälligen Modelle noch weitaus höher liegen. Wie hoch sie genau ist, ist allerdings unklar. Dhar scannte nach eigenen Angaben nur nach einem Modell. Grundsätzlich sollten IoT-Geräte nach Möglichkeit nicht direkt dem offenen Internet ausgesetzt sein, da dies die Wahrscheinlichkeit einer erfolgreichen Ausnutzung von Sicherheitslücken wie CVE-2026-0629 enorm vergrößert.