Производитель систем видеонаблюдения Hanwha Techwin спешно исправила тринадцать уязвимостей, обнаруженных в популярном семействе камер SmartCam. Патчи были выпущены одновременно с раскрытием деталей этих брешей, о которых эксперты ICS CERT “Лаборатории Касперского” рассказали на SAS — ежегодном саммите ИБ-аналитиков, прошедшем на прошлой неделе в мексиканском Канкуне.

Найденные исследователями дефекты представляют собой весь спектр проблем — от небезопасного протокола связи HTTP до слабой защиты учетных данных, взломав которую, злоумышленник может взять камеру под контроль и даже использовать устройство в качестве плацдарма для проведения атак в подключенной к нему сети.

Обнаружив уязвимости, эксперты “Лаборатории Касперского” сообщили о них изготовителю устройств. В компании ответили, что разрабатывают исправления для встроенного ПО, которое применяется в камерах видеонаблюдения Hanwha SmartCam SNH-V6410PN/PNW.

Эту модель используют как частные лица, так и представители малого бизнеса. Она продается преимущественно в Южной Корее и Европе. По данным ICS CERT “Лаборатории Касперского”, более 2000 камер имеют IP-адреса, к которым возможен общий доступ.

“Мы считаем, что в действительности таких камер еще больше, но они находятся в защищенных сетях”, — заявил специалист ИБ-компании Владимир Дащенко в интервью перед выпуском отчета о детище Hanwha, который был представлен на SAS.

Эксперты полагают, что подобные дефекты могут присутствовать у других камер Hanwha Techwin, использующих схожие прошивки и инфраструктуру. Они протестировали только V6410PN, поэтому пока не ясно, для каких еще моделей компания Hanwha выпускает исправления.

По словам специалистов, чтобы совершить подобную атаку, злоумышленник должен знать серийный номер камеры, которую он собирается взломать, а получить его нетрудно. “Алгоритм генерации серийных номеров относительно легко определить с помощью простой атаки методом перебора: система регистрации камеры от него не защищена”, — отметили в “Лаборатории Касперского”.

Самым пагубным дефектом камеры является протокол связи, неправильно настроенный компанией Hanwha, который используется в сочетании со сторонней облачной службой Cisco Jabber, предоставляя владельцам устройства возможность взаимодействовать с ним.

“Одна из основных проблем в архитектуре облака — его организация на базе протокола XMPP. По своей сути все облако умных камер Hanwha представляет собой Jabber-сервер. В нем существуют так называемые комнаты, в каждой из которых находятся камеры одного типа. Злоумышленники способны зарегистрировать произвольную учетную запись на Jabber-сервере и получить доступ ко всем комнатам на сервере”, — говорится в отчете.

Четыре из тринадцати ошибок связаны с облачными функциями платформы камеры. Источником остальных является само устройство.

Наиболее серьезные дефекты позволяют злоумышленнику захватить контроль над камерой и подменить адреса серверов DNS, указанные в настройках. После этого устройство можно использовать в качестве отправной точки для проведения других атак внутри локальной сети.

KL-smart-camera-or-smart-eyeПо словам экспертов, суть дефекта том, что в файле конфигурации камеры сервер обновления указан как URL-адрес. Атаку такого типа можно реализовать, даже если у камеры нет глобального IP-адреса, и она находится в подсети NAT.

При этом и покупатели, и поставщики уверены, что если отделить устройство от Интернета маршрутизатором, то большая часть проблем безопасности будет решена или же степень серьезности угрозы снизится.

Дащенко подтвердил, что во многих случаях это действительно так. “Однако наши исследования показывают, что все может обстоять совершенно иначе, поскольку эти камеры способны общаться с внешним миром через облачную службу, которая является полностью уязвимой”, — отметил исследователь.

Полный список уязвимостей, которые могут использоваться злоумышленниками:

  • Использование незащищенного протокола HTTP при обновлении прошивки
  • Использование незащищенного протокола HTTP при взаимодействии с камерой по HTTP API
  • Наличие недокументированной (скрытой) возможности для переключения веб-интерфейса с использованием файла dnpqtjqltm
  • Переполнение буфера в файле dnpqtjqltm для переключения интерфейса
  • Возможность удаленного выполнения команд с правами root
  • Возможность удаленной смены пароля администратора
  • Отказ в обслуживании камер SmartCam
  • Отсутствие защиты от подбора пароля учетной записи администратора камеры путем перебора
  • Слабая парольная политика при регистрации камеры на сервере xmpp.samsungsmartcam.com. Возможность проведения атак на пользователей приложений SmartCam
  • Возможность взаимодействия с другими камерами через облачный сервер
  • Блокировка регистрации новых камер в облачном сервере
  • Обход аутентификации на SmartCam. Изменение пароля администратора и удаленное выполнение команд
  • Восстановление пароля камеры от учетной записи в облаке SmartCam

Категории: Аналитика, Уязвимости