Исследователь Пьер Ким (Pierre Kim) утверждает, что в сотнях тысяч китайских IP-камер столь много уязвимостей, что их с легкостью можно использовать для шпионажа, взломать брутфорсом или украсть логин и пароль для входа.

В своей записи на GitHub Ким перечисляет уязвимости, обнаруженные им в серийно производимых камерах Wireless IP Camera (P2) WIFICAM. По словам исследователя, эти плохо спроектированные устройства со встроенным веб-сервером некая китайская компания продает оптом (как OEM), и покупатели перепродают их под разными брендами и с кастомным ПО. В итоге эти камеры физически выглядят примерно одинаково, но HTTP-интерфейс у каждого вендора свой, хотя и с одними и теми же уязвимостями.

Проблема, по мнению Кима, заключается в том, что все эти вендоры используют кастомные версии серверного софта GoAhead. Представитель Embedthis Software, разработчика GoAhead, заверил исследователя, что найденные уязвимости их продукт не затрагивают, а, скорее всего, были привнесены OEM-вендорами, осуществляющими кастомизацию. Поскольку этих вендоров около 400, связаться со всеми было нереально.

Ким провел в Интернете поиск с помощью Shodan и обнаружил более 200 тыс. потенциально уязвимых IP-камер. Размещены они по большей части в Китае, но порядка 18,7 тыс. установлены также на территории США. «Советую НЕМЕДЛЕННО ОТКЛЮЧИТЬ камеры от Интернета, — пишет Ким. — Сотни тысяч камер подвержены уязвимости нулевого дня, грозящей утечкой информации. Миллионы используют ненадежную сеть Cloud».

Протокол Cloud, упомянутый исследователем, по умолчанию включен на всех этих камерах, количество которых Ким оценил в миллионы. Этот протокол, по сути, представляет собой набор UDP-каналов, передача по которым осуществляется открытым текстом и которые можно использовать для отправки HTTP-запросов на камеры. Если сразу после валидации запроса камеру атаковать брутфорсом, можно получить регистрационные данные и с их помощью посылать на камеру HTTP-запросы на вывод файлов .CGI.

Поскольку многие камеры используют одни и те же протоколы, а инфраструктурой управляет, по всей видимости, единственная организация, Ким полагает, что появление PoC-кода бота, способного наподобие Mirai приобщить уязвимые камеры к ботнету, — это только вопрос времени. «Этот Cloud больше напоминает протокол для ботнета, чем легитимный инструмент удаленного доступа», — заключает исследователь.

Вместе с тем несовершенство «облачного» протокола — лишь верхушка айсберга. Как оказалось, ряд уязвимостей в камерах 1250 моделей, если их использовать в одной связке, может повлечь еще худшие последствия. На некоторых камерах кастомный HTTP-сервер сконфигурирован таким образом, что злоумышленник имеет возможность обойти аутентификацию и украсть пароль и логин, а также учетные данные FTP и SMTP. В комбинации с RCE-багом, существующим в CGI FTP камеры, эта уязвимость позволяет исполнять вредоносные команды, поданные из локальной сети или через Интернет. По словам Кима, его PoC-эксплойт также облегчает извлечение валидных идентификаторов и исполнение полезной нагрузки.

Поскольку на некоторых IP-камерах не предусмотрена процедура аутентификации, злоумышленник сможет сливать с них передаваемый контент на TCP-порту 10554. Кроме того, на ряде камер работает telnetd и, соответственно, существует бэкдор-аккаунт, уверен Ким. Если это действительно так, то это уже второй бэкдор в подключенных к Интернету камерах, преданный гласности за последнюю неделю. 6 марта независимый исследователь Bashis раскрыл аналогичную находку в DVR, CCTV и IP‑камерах производства Dahua Technology. Калифорнийский разработчик уже начал обновлять прошивки и призывает владельцев пропатчить уязвимые устройства.

Ким не раз демонстрировал свое умение отыскивать баги: за последние годы он обнаружил ряд уязвимостей в сетевых устройствах, в основном в роутерах. Так, в прошлом году исследователь обнаружил в DWR-932B производства D-Link бэкдор, бэкдор-аккаунты и дефолтный PIN для установки защищенных Wi-Fi-соединений стандарта WPS. Среди его находок также числятся бэкдоры, вшитые SSH-ключи и RCE-баги в роутерах TP-Link, Quanta, Huawei и Totolink.

Категории: Главное, Уязвимости