Laajalti käytössä olevat langattomat IP-kamerat, jotka ovat avoinna kaapata Internetin kautta, tutkijat sanovat

Tuhannet langattomat IP-kamerat, jotka on liitetty Internetiin, ovat vakavia heikkouksia, joiden avulla hyökkääjät voivat kaapata heidät ja muuttaa laiteohjelmistoaan "Securities -yrityksen Qualysin tutkijoiden mukaan.

Kamerat myydään Foscam-brändin alla Yhdysvalloissa, mutta samat laitteet löytyvät Euroopasta ja muualta eri brändeillä, sanoivat Qualys-tutkijat Sergey Shekyan ja Artem Harutyunyan. analysoivat laitteiden turvallisuuden ja aikovat esittää havainnot Hackissa Boxin turvallisuuskonferenssissa Amsterdamissa torstaina.

Oppaat tarjoavat kameran myyjällä on ohjeet siitä, miten laitteita voi käyttää Internetistä, asettamalla porttitoimitussäännöt reitittimille. Tämän vuoksi monet tällaiset laitteet ovat alttiina Internetille, ja niitä voidaan hyökätä etäyhteydellä, tutkijat sanoivat.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Kameran löytäminen on helppoa ja voidaan tehdä monin tavoin. Yksi tapa on käyttää Shodan-hakua hakemaan HTTP-otsikkoa, joka on erityinen kameran Web-pohjaisiin käyttöliittymiin. Tällainen kysely palauttaa yli 100 000 laitetta, tutkijat sanoivat.

Kamerat myyvät toimittajat ovat myös määrittäneet käyttävänsä omaa dynaamista DNS-palveluaan. Esimerkiksi Foscam-kameroille on määritetty isäntänimen tyyppi [kaksi kirjainta ja neljä numeroa].myfoscam.org. Tutkijat kertoivat koko *.myfoscam.org -nimialueen tarkkailemalla, että hyökkääjä pystyi tunnistamaan useimmat Foscam-kamerat, jotka on yhdistetty Internetiin.

Jokaisesta 10 kamerasta noin kaksi kuvaa käyttäjää kirjautumaan oletusarvoisesti "admin" eikä salasanaa, tutkijat sanoivat. Muut, joilla on käyttäjän määrittämät salasanat, on muitakin tapoja murtautua sisään.

Hyökkäyksen menetelmät

Yksi tapa on käyttää äskettäin löydettyä kameran web-käyttöliittymän haavoittuvuutta, jonka avulla etähyökkääjät voivat hankkia tilannekuvan

Tämä muistin salaus sisältää järjestelmänvalvojan käyttäjänimen ja salasanan selkeässä tekstissä sekä muita arkaluonteisia tietoja, kuten Wi-Fi-tunnistetietoja tai tietoja lähiverkon laitteista, tutkijat sanoivat. myyjä on korjannut tämän haavoittuvuuden viimeisimmässä firmware-ohjelmassa, 99 prosenttia Internetissä olevista Foscam-kameroista edelleen ajaa vanhemmat firmware-versiot ja ovat haavoittuvia, he sanoivat. Käytössä on myös tapa hyödyntää tätä haavoittuvuutta jopa viimeisimmän firmware-ohjelmiston avulla, jos sinulla on operaattoritason käyttöoikeudet kameralle.

Toinen tapa on käyttää rajapinnan cross-site request forgery (CSRF) -virheä haittaamalla kameran ylläpitäjä avata nimenomaan muotoillun linkin. Tätä voidaan käyttää lisäämään toissijainen järjestelmänvalvojatili kameraan.

Kolmas tapa on suorittaa hyökkäyshyökkäys salasanan arvaamiseksi, koska kameralla ei ole suojaa tätä vastaan ​​ja salasanat ovat vain 12

Kun hyökkääjä pääsee käsiksi kameraan, hän voi määrittää sen firmware -version, ladata kopion Internetistä, purkaa pakkaus, lisätä siihen rogue-koodia ja kirjoittaa sen takaisin laitteeseen.

Laiteohjelmisto perustuu uClinuxiin, joka on Linux-pohjainen sulautettujen laitteiden käyttöjärjestelmä, joten nämä kamerat ovat teknisesti Linux-koneita, jotka on liitetty Internetiin. Tämä tarkoittaa, että he voivat käyttää mielivaltaisia ​​ohjelmistoja, kuten botnet-asiakasohjelma, välityspalvelinta tai skanneria, tutkijat sanoivat.

Koska kamerat ovat myös yhteydessä paikallisverkkoon, niitä voidaan käyttää paikallisten laitteiden tunnistamiseen ja etäkäyttöön, t muuten pääsee Internetistä, he sanoivat.

On olemassa joitakin rajoituksia, joita voidaan käyttää näissä laitteissa, koska niissä on vain 16 Mt RAM-muistia ja hidas suoritin ja useimmat resurssit ovat jo käyttäneet sen oletusprosesseja. Kuitenkin tutkijat kuvattu useita käytännön hyökkäyksiä. Yksi niistä liittyy luomaan piilotettu takaportin ylläpitäjän tili, jota ei ole listattu Web-käyttöliittymässä.

Toinen hyökkäys edellyttää, että laiteohjelmistoa muutetaan välityspalvelimen käyttämiseksi portissa 80 verkkorajapinnan sijasta. Tämä välityspalvelin asetettaisiin käyttäytymään eri tavalla riippuen siitä, kuka on yhteydessä siihen.

Jos ylläpitäjä käsittelee kameran portin 80 kautta, välityspalvelin näyttää tavallisen verkkoliittymän, koska järjestelmänvalvojalla ei olisi selaimen asetettua käytä kameran IP-osoitetta välityspalveluna. Hyökkääjä, joka konfiguroi selaimensä tällä tavalla, saisi sen yhteyden tunnetuksi välityspalvelimen välityksellä.

Kolmas hyökkäyskenaariossa on Web-käyttöliittymän myrkytys, jotta voidaan ladata etäällä ylläpidettyä JavaScript-koodia.

Automaattiset hyökkäykset

Tutkijat julkaisivat avoimen lähdekoodin "getmecamtool" -työkalun, jota voidaan käyttää automatisoimaan useimmat näistä hyökkäyksistä, mukaan lukien injektointi suoritettavia tiedostoja kiinteään ohjelmistoon tai Web-käyttöliittymän korjaaminen.

Ainoa asia, jota työkalu ei automatisoida, on autentikointihyökkäyskohtaus, tutkijat sanoivat.

Kamerat ovat myös alttiita palvelunestohyökkäyksille, koska ne pystyvät käsittelemään vain noin 80 rinnakkaista HTTP-palvelua liitännät. Tutkijat sanoivat, että tällaista hyökkäystä voitaisiin käyttää esimerkiksi kameran toiminnan lopettamisen aikana ryöstämään.

Parasta on, että näitä kameroita ei altisteta Internetille, tutkijat sanoivat. Jos tämä on tarpeen, kamerat tulisi ottaa käyttöön palomuurien tai tunkeutumisen estojärjestelmien takana tiukkojen sääntöjen kanssa.

Niiden käyttöoikeus olisi sallittava vain rajoitetusti luotettavilta IP-osoitteilta, ja samanaikaisten yhteyksien enimmäismäärä olisi kurkutettu, he sanoivat. Kameran eristäminen paikallisverkosta on myös hyvä ajatus, jotta estetään niiden väärinkäyttäminen hyökkäämästä paikallisia laitteita.

Jos olet kiinnostunut käyttämään teräväpiirtoista IP-kameraa, jonka tiedetään olevan herkkä tähän hakkuun, meillä on arvosteluja kolmesta uudesta mallista.