D-Link ürün yazılımı hataları IP video akışı casusluğuna izin verebilir

Eğer bir banka çalıştırıyorsanız ve D-Link'ten bir IP video kamera kullanıyorsanız, buna dikkat etmek isteyebilirsiniz.

Bir dizi IP tabanlı gözetim video kamera D-Link tarafından yapılan bir saldırganın, güvenlik araştırmacılarına göre bir saldırganın video akışını engellemesine olanak tanıyan bir yazılım zafiyetleri var.

Core Security, güvenlik açığı algılama ve araştırmasında uzmanlaşan Boston merkezli bir şirket, beş güvenlik açığının ayrıntılarını yayınladı D-Link'in en az 14 ürününe ait ürün yazılımı.

[Ekstra okuma: Pahalı elektronikleriniz için en iyi dalgalanma koruyucular]

D-Link, sattığı çeşitli İnternet bağlantılı kameralar üretir işletmeler ve tüketiciler için. Kameralar görüntüleri ve videoları kaydedebilir ve Web tabanlı kontrol panelleri aracılığıyla kontrol edilebilir. Canlı yayınlar bazı mobil cihazlarda görüntülenebilir.

Savunmasız modellerden biri olan DCS-5605 / DCS-5635, D-Link'in pazarlama materyallerinde bankalar için iyi olacağını düşündüğü bir hareket algılama özelliğine sahiptir. Hastaneler ve ofisler

Core Security'nin araştırmacıları, etkilenen modellerde bir video akışının ASCII çıktısının yanı sıra RTSP (gerçek zamanlı akış protokolü) aracılığıyla canlı bir video akışının kimlik doğrulaması olmadan erişmenin mümkün olduğunu buldular. RTSP, İnternet Mühendisliği Görev Gücü'ne göre gerçek zamanlı veri aktarımı için uygulama düzeyinde bir protokoldür.

Araştırmacılar, bir korsanın keyfi komutlar girmesine izin veren web tabanlı kontrol paneli ile de bir sorun buldular. Diğer bir hatada, D-Link sabit kodlanmış giriş bilgileri, "etkin bir saldırganın RTSP video akışına erişmesine izin veren bir arka kapı olarak işlev gören" ürün yazılımına giriyor. Core Security, danışmanlığında şöyle demektedir.

Teknik detaylar açıklanmıştır. Seclists.org 'un bir bildirisinde, bilinen etkilenen ürünlerin bir listesiyle birlikte, bazıları D-Link tarafından iptal edildi.

Çekirdek Güvenlik sorunu D-Link'in 29 Mart'ta bildirildi., iki şirketin tam teşekküllü yayınına dahil olan etkileşimlerinin bir günlüğüne göre. Core tarafından yazılan günlük, iki şirketin nasıl bir araya geldiği ve görünüşte birkaç anlaşmazlığa sahip olduğuyla ilgili ilginç bilgiler içeriyor.

Core'a göre D-Link, "güvenlik sağlayıcıları için yayınlanmamış bir ödül programı" olduğunu söyledi. Pek çok şirket, araştırmacıları ürünlerinde güvenlik sorunları bulmak için nakit veya başka teşviklerle ödüllendiren ve ayrıntıları kamuya duyurmadan önce bunları bilgilendiren hata programlarına sahiptir.

D-Link, 20 Mart civarında, Core Security'nin bir "anlayış notu" imzalamasını talep etti. Core'un reddettiği programın bir parçası olarak. Notun şartları açıklanmadı. Core, D-Link'e "satıcılardan para almak raporun görüşünü ön plana çıkartabilir" dedi.

İki şirket daha küçük bir işe girdi. D-Link, Core'a D-Link Destek Forumu'ndaki sorunları düzeltmek için yamaları ve rehberliği yayınlayacağını söyledi. D-Link daha sonra bir kamu duyurusu yapmadan önce bir ay beklerdi.

Core Security bu öneriyi beğenmedi. Geçtiğimiz Çarşamba günü Core, D-Link'e "D-Link çıkış tarihi ile ilgili bir açıklama yapmak için" sordu ve ayrıcalıklı bir kapalı gruba ve / veya kapalı bir foruma veya listeye yönelik yayınların kaldırılmasının kabul edilemez olduğunu bildirir.

D-Link'in forumu Bir giriş alanı, ancak herkesin kayıt olmadan birçok yayını görebileceği anlaşılıyor. D-Link bir gün sonra geri geldi ve yamalar hazır olduğunu ve web sitesinde "önümüzdeki birkaç gün içinde" yayınlanacağını söyledi. "

D-Link hemen yorum taleplerine cevap vermedi. Firmware güncellemeleri henüz yayınlanmış olsaydı şirketin destek forumundan belli değildi.

Core Security araştırmacılarını Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria ve Fernando Miranda’yı problemleri bulmaya borçluydu.