Китайский производитель IP-камер Foscam устранил три уязвимости в своих устройствах, которые позволяли злоумышленникам захватывать контроль над ними. Проблема затронула не только продукцию под собственным брендом вендора, но и другие торговые марки, закупающие у него камеры без лейбла.

Бреши обнаружили аналитики компании VDOO, которая специализируется на безопасности Интернета вещей. Эксперты рассказали, как может выглядеть атака с использованием этих уязвимостей.

Сначала взломщик узнает IP- или DNS-адрес целевого устройства. Это становится возможным в тех случаях, когда камера напрямую подключена к Интернету или преступнику удается проникнуть в сеть, где оно расположено. Найти доменное имя также можно при использовании динамического DNS.

Далее злоумышленнику нужно удалить определенные критические файлы и спровоцировать перезапуск процесса webService. С помощью этих манипуляций он обходит механизм аутентификации и добивается привилегий администратора. На следующем шаге взломщик получает доступ к программной оболочке, что позволяет ему повысить свои полномочия и отдавать команды устройству.

Как пояснили эксперты, в основе этих уязвимостей лежит целая серия ошибок производителя: процессы протекают на корневом уровне, рядовые операции выполняются через отправку shell-команд вместо того, чтобы использовать для этого API и дополнительные библиотеки. Кроме того, камеры не проверяют безопасность поступающих данных, а прошивку несложно взломать и изучить.

Журналисты Bleeping Computer отмечают, что Foscam изменила политику работы с уязвимостями. В прошлом году производитель проигнорировал сообщение о 18 брешах в его камерах, которые позволяли перехватывать видеопоток, удаленно управлять устройствами, скачивать и загружать файлы на внутренний FTP-сервер. Сейчас же компания поблагодарила исследователей за информацию и оперативно устранила проблему.

Пользователям следует обновить прошивку по опубликованной на сайте Foscam инструкции. Эксперты рекомендуют не медлить с апдейтом — хотя на данный момент преступники не пытались эксплуатировать эти уязвимости, новый ботнет может появиться в любой момент.

С распространением Интернета вещей незащищенные IP-камеры стали серьезным источником угроз как для рядовых пользователей, так и для корпоративного сегмента. В 2016 году эти устройства легли в основу IoT-ботнета Mirai, который нарушил работу DNS-провайдера Dyn и его клиентов — Twitter, GitHub, Spotify, Reddit, SoundCloud. За ним последовали черви Hajime, IOtroop и Hide’n’Seek.

Категории: Кибероборона, Уязвимости