Китайские камеры и DVR могут стать частью ботнетов

Не проходит и недели, чтобы ИБ-эксперты не обнаружили новую партию уязвимых IoT-девайсов. Именно «благодаря» интернету вещей и его проблемам с безопасностью стало возможно появление таких угроз, как Mirai, и мощных атак, за которые ответственна подобная малварь.

На этой неделе исследователи выявили сразу ряд проблем: уязвимости нашли в DVR и камерах наблюдения китайской компании Dahua, а также в камерах 354 других производителей, которые комплектуют свои гаджеты «дырявым» веб-сервером.

Dahua

Проблему в IP-камерах и DVR-устройствах китайского производителя Dahua заметил исследователь, известный под именем Bashis. Он обнаружил, что устройства хранят настройки веб-сервера в доступном для всех желающих месте. То есть получить доступ к файлу конфигурации, в котором содержатся данные обо всех аккаунтах, мог любой, кому известен IP-адрес устройства. Замечу, что узнать адрес и найти подобные девайсы, можно без особо труда, используя хотя бы тот же Shoudan, пишет xakep.ru.

Bashis опубликовал отчет о проблеме, а также обнародовал на GitHub proof-of-concept эксплоит, позволяющий автоматизировать атаки на устройства Dahua. Представители компании поспешили связаться с исследователем и попросили его убрать эксплоит из свободного доступа, дав пользователям возможность спокойно обновить свои устройства. Одновременно с этим производитель выпустил новую версию прошивки, которая устранила обнаруженную исследователем проблему. Bashis пошел навстречу компании, так что PoC-эксплоит был изъят с GitHub и будет повторно опубликован 5 апреля 2017 года.

GoAhead

Более глобальную проблему обнаружил исследователь Пирри Ким (Pierre Kim). Ким пишет, что свыше 1200 моделей IP-камер 354 разных производителей содержат опасную уязвимость во встроенном веб-сервере. Исследователь рассказал, что проблема кроется в самом административном интерфейсе устройств Wireless IP Camera (P2P) WIFICAM, так как OEM-производители используют кастомную и уязвимую версию веб-сервера GoAhead, плюс прошивки открывают возможность небезопасного подключения к бэкэнду. Причем на базе девайса Wireless IP Camera (P2P) WIFICAM построены более 1200 моделей камер.

По данным исследователя, через Shodan можно обнаружить более 185 000 уязвимых Wi-Fi камер, которые только и ждут, когда кто-нибудь сделает их частью очередного ботнета. В списке проблемных устройств, который исследователь приводит на страницах своего блога, числятся камеры таких известных производителей, как 3Com, D-Link, Akai, Axis, Kogan, Logitech, Mediatech, Panasonic, Polaroid и Secam.

Изначально Ким полагал, что уязвимость кроется в веб-сервере GoAhead компании Embedthis Software. Однако разработчики Embedthis Software опровергли данную теорию, и исследователь признал, что сам по себе GoAhead неопасен, опасны его модификации, созданные китайскими производителями.

Хотя написание полноценного proof-of-concept эксплоита Ким оставил другим, подробной информации о проблеме, опубликованной в его блоге, для этого вполне хватит. В силу того, что уязвимых устройств и производителей очень много, исследователь не стал пытаться связываться с каждым из них по отдельности, вместо этого он публично раскрыл все детали проблемы, надеясь привлечь внимание вендоров. Пользователям уязвимых камер Ким рекомендует немедленно отключить устройства от интернета.