SOS :: Security Operation Space
21 октября, воскресенье, 00:00
|
Hot News:

Эксперты назвали IP-камеры Xiongmai инструментом АРТ-атак

11 октября 2018 г., четверг, 14:59

Уязвимости в устройствах китайского OEM-производителя позволяют шпионить за пользователями и распространять зловреды.

Эксперты SEC Consult описали цепочку уязвимостей, обнаруженных в камерах китайской компании Xiongmai. Небезопасный облачный сервис позволяет шпионить за пользователями, взламывать защищенные сети и распространять опасное ПО.

По словам исследователей, проблема в функции XMEye P2P Cloud, которая дает удаленно управлять камерой через собственное облако Xiongmai. Подключиться к сервису можно через браузер или мобильное приложение для iOS или Android.

Отмечается, что разработчики стремились упростить механику для пользователей, не желающих разбираться в настройках. Функция позволяет владельцу устройства подключаться к камере из любой точки, не находясь с ней в одной сети. Кроме того, туннель, по которому происходит подключение, игнорирует брандмауэры и прочие ограничения доступа на уровне сетевой инфраструктуры.

На деле подобное удобство оборачивается серьезными угрозами, поскольку программисты не позаботились о должной защите камеры. В отчете эксперты описали сценарий комплексной атаки, построенной на серии серьезных уязвимостей.

Первое, на что обратили внимание специалисты, —уникальный облачный идентификатор, используемый для подключения к удаленному серверу. Предполагается, что последовательность из букв и цифр генерируется случайно, чтобы защитить пользователя от атаки перебором. Однако в случае Xiongmai идентификаторы создаются на основе MAC-адреса устройства.

Специалисты хорошо знают логику, по которой формируется MAC. В результате преступники могут составить список возможных комбинаций и отобрать среди них реальные логины. Авторы отчета подтвердили работоспособность метода с помощью тестового сканера. В зависимости от региона скрипт позволяет узнать до 15% идентификаторов к зарегистрированным в этой области камерам.

Специалисты также проверили, может ли посторонний человек авторизоваться на сервере от чужого лица. Оказалось, что устройства Xiongmai не заставляют пользователя придумать оригинальную кодовую фразу для входа. По умолчанию на всех камерах установлен логин admin с пустым полем пароля. Таким образом, взломщику достаточно подобрать облачный идентификатор, чтобы смотреть видео, менять настройки и обновлять ПО.

Преступник также может воспользоваться вшитой учетной записью. Доступ к ней открывается, если ввести при авторизации логин default с паролем tluafed. По информации экспертов, с этого аккаунта можно в реальном времени просматривать видеопотоки.

На последнем этапе атаки злоумышленнику понадобится выполнить сторонний код. Устройства Xiongmai предоставляют и эту возможность, поскольку не проверяют цифровую подпись перед установкой ПО. Преступник может подменить сервер, к которому камера обращается за обновлениями, и установить собственный софт.

Эксперты подчеркивают, что стороннюю программу будет нелегко вычистить из пораженной системы, в то время как большинство IoT-зловредов исчезают после перезагрузки устройства. Компрометация прошивки позволит взломщику надежно закрепиться в системе и при необходимости автоматически восстанавливать присутствие.

Аналитики заключают, что такие возможности могут привлечь к камерам Xiongmai не только вуайеристов, но и серьезные APT-группировки. Эти преступники смогут использовать описанные уязвимости, чтобы проникнуть в защищенные инфраструктуры и установить над ними скрытый контроль.

О проблеме стало известно еще в марте этого года. На протяжении всего прошедшего времени представители ICS-CERT пытались связаться с производителем. Китайская компания в ответ присылала отписки или попросту игнорировала запросы.

Эксперты рекомендуют отказаться от использования этой продукции и внести Xiongmai в черный список поставщиков. Подчеркивается, что обычные меры вроде ограничения доступа на уровне межсетевых экранов или сегментации сети не помогут закрыть пробелы безопасности.

Ситуация осложнятся тем, что уязвимые камеры продаются под более чем сотней различных брендов. О наличии описанных брешей в том или ином устройстве может говорить упоминание XMEye или Xiongmai в инструкции и системных сообщениях.

Ранее именно устройства Xiongmai составили основную часть IoT-ботнета Mirai. Производитель отозвал с американского рынка миллионы IP-камер, попутно обвинив пользователей в использовании заводских учетных данных.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
08:15
17:15
16:34
15:15
14:07
13:15
12:39
12:15
12:15
11:15
10:15
09:15
08:15
08:15
08:15
07:15
07:15
06:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.129
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.