Широко используемые беспроводные IP-камеры открыты для угона через Интернет, говорят исследователи

Тысячи беспроводных IP-камер, подключенных к Интернету, имеют серьезные недостатки в области безопасности, которые позволяют злоумышленникам захватить их и изменить их прошивку, согласно двум исследователям из охранной фирмы Qualys.

Камеры продаются под торговой маркой Foscam в США, но те же устройства можно найти в Европе и других странах с различным брендингом, говорят исследователи Qualys Сергей Шекян и Артем Арутюнян, которые проанализировали безопасность устройств и планируют представить их результаты на конференции безопасности Hack in the Box в Амстердаме в четверг.

Обучение издателя камеры содержат инструкции о том, как сделать устройства доступными из Интернета, настроив правила переадресации портов на маршрутизаторах. Из-за этого многие такие устройства подвергаются воздействию Интернета и могут быть атакованы удаленно, сказали исследователи.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Поиск камер очень прост и может быть выполнен несколькими способами. Один из методов предполагает использование поисковой системы Shodan для поиска HTTP-заголовка, специфичного для веб-интерфейсов пользователей камер. По словам исследователей, такой запрос вернет более 100 000 устройств.

Поставщики, продающие эти камеры, также настроены на использование своих собственных динамических DNS-сервисов. Например, камерам Foscam присваивается имя хоста типа [две буквы и четыре цифры].myfoscam.org. Сканирование всего пространства имен *.myfoscam.org злоумышленник мог идентифицировать большинство камер Foscam, подключенных к Интернету, сказали исследователи.

Около двух из каждых 10 камер позволяют пользователям входить в систему с именем пользователя «admin» по умолчанию и нет пароля, говорят исследователи. Для остальных, у которых есть пароли, настроенные пользователем, есть и другие способы взлома.

Способы атаки

Один из методов заключается в использовании недавно обнаруженной уязвимости в веб-интерфейсе камеры, которая позволяет удаленным злоумышленникам получить снимок из памяти устройства.

Этот дамп памяти будет содержать имя пользователя и пароль администратора в виде открытого текста, а также другую конфиденциальную информацию, такую ​​как учетные данные Wi-Fi или сведения об устройствах в локальной сети.

Хотя поставщик исправил эту уязвимость в последней прошивке, 99 процентов камер Foscam в Интернете по-прежнему работают с более старыми версиями прошивки и уязвимы, говорят они. Существует также способ использовать эту уязвимость, даже если установлена ​​последняя версия прошивки, если у вас есть учетные данные на уровне оператора для камеры.

Другой метод заключается в том, чтобы использовать уязвимость межсайтового запроса на подделку (CSRF) в интерфейсе, обманом администратора камеры, чтобы открыть специально созданную ссылку. Это можно использовать для добавления дополнительной учетной записи администратора на камеру.

Третий способ - выполнить атаку грубой силы, чтобы угадать пароль, поскольку камера не имеет защиты от этого, а пароли ограничены 12 персонажи, сказали исследователи.

Как только злоумышленник получает доступ к камере, он может определить свою версию прошивки, загрузить копию из Интернета, распаковать ее, добавить к ней код жулика и записать его обратно на устройство.

Прошивка основана на uClinux, операционной системе на базе Linux для встроенных устройств, поэтому технически эти камеры являются машинами Linux, подключенными к Интернету. Это означает, что они могут запускать произвольное программное обеспечение, такое как клиент бот-сети, прокси-сервер или сканер.

Поскольку камеры также подключены к локальной сети, их можно использовать для идентификации и удаленной атаки локальных устройств, в противном случае они были доступны из Интернета, сказали они.

Существуют некоторые ограничения на то, что можно запускать на этих устройствах, поскольку они имеют только 16 МБ ОЗУ и медленный процессор, и большинство ресурсов уже используются его процессами по умолчанию. Однако исследователи описали несколько практических атак. Один из них включает создание скрытой учетной записи администратора бэкдора, которая не указана в веб-интерфейсе.

Вторая атака включает в себя модификацию прошивки для запуска прокси-сервера на порту 80 вместо веб-интерфейса. Этот прокси-сервер будет настроен на то, чтобы вести себя по-разному в зависимости от того, кто к нему подключается.

Например, если администратор обращается к камере через порт 80, прокси отобразит обычный веб-интерфейс, потому что у администратора не будет установлен его браузер используйте IP-адрес камеры в качестве прокси-сервера. Тем не менее, злоумышленник, который настраивает свой браузер таким образом, будет подключен к туннелю через прокси.

Третий сценарий атаки включает в себя отравление веб-интерфейса для загрузки удаленной части кода JavaScript. Это позволит злоумышленнику скомпрометировать браузер администратора камеры, когда он посещает интерфейс.

Автоматизированные атаки

Исследователи выпустили инструмент с открытым исходным кодом под названием «getmecamtool», который можно использовать для автоматизации большинства этих атак, включая инъекции исполняемые файлы в прошивку или исправление веб-интерфейса.

Единственное, что инструмент не автоматизирует, это атаки обхода аутентификации, говорят исследователи. Инструмент требует действительных учетных данных, которые будут использоваться для целевой камеры, что было предпринято исследователями для ограничения его злоупотребления.

Камеры также подвержены атакам типа «отказ в обслуживании», поскольку они могут обрабатывать только 80 одновременных HTTP-сообщений соединения. Исследователи сказали, что такая атака может быть использована, например, для того, чтобы отключить камеру во время ограбления.

Лучше всего, чтобы эти камеры не подвергались воздействию Интернета, говорят исследователи. Однако, если это необходимо, то камеры должны быть развернуты за брандмауэрами или системами предотвращения вторжений со строгими правилами.

Доступ к ним должен разрешаться только из ограниченного количества доверенных IP-адресов, а максимальное количество одновременных подключений должно быть - сказали они. Выделение камер из локальной сети также является хорошей идеей, чтобы предотвратить их злоупотребление для атаки на локальные устройства.

Если вы заинтересованы в развертывании IP-камеры высокой четкости, которая, как известно, не подвержена уязвимости к этому взлому мы имеем обзоры трех новых моделей.