Обнаружены 185 тыс. доступных через интернет уязвимых IP-камер
09.03.2017
ИБ-эксперты ожидают появления нового ботнета – свыше 185 тыс. IP-камер, поставляемых 354 компаниями под 1200 торговыми марками, содержат уязвимый встроенный сервер. Как сообщает Пьер Ким (Pierre Kim) из Full Disclosure, проблемными являются панель администрирования GoAhead и незащищенный протокол, по которому осуществляется подключение к облачным серверам.
По данным Кима, поисковая система Shodan находит порядка 185 тыс. подключенных к интернету уязвимых IP-камер, открытых для кибератак. В использующемся в устройствах CGI-скрипте для конфигурации FTP содержится известная с 2015 года уязвимость, позволяющая удаленно выполнить код. С ее помощью атакующий может запускать команды с правами суперпользователя или настроить не требующий пароль Telnet-сервер.
В файловой системе есть папка /system/www/pem/ck.pem, содержащая сертификат разработчика Apple с закрытым ключом RSA и учетные данные для авторизации на web-сервере, доступные через символьные ссылки system.ini и system-b.ini. Также присутствует неавторизованный RTSP-сервер, и любой, у кого есть доступ к TCP-порту 10554, может видеть передающиеся данные. Подключение камер к облачным сервисам AWS, Alibaba и Baidu активировано по умолчанию, и все, что нужно для атаки – соответствующее мобильное приложение и серийный номер атакуемого устройства.
Как пояснил Ким, если камера подключена к интернету, между нею и приложением создается UDP-туннель, где в качестве реле используется облачный сервер. Данный туннель также может служить в качестве вектора для атаки. "Туннель обходит NAT и межсетевой экран, позволяя атакующему получить доступ к внутренним камерам (если они подключены к интернету) и с помощью брутфорс-атаки определить учетные данные", - сообщил исследователь.
В списке уязвимых устройств числятся IP-камеры 3Com, D-Link, Akai, Axis, Kogan, Logitech, Mediatech, Panasonic, Polaroid и Secam.
