İNternet üzerinden çok sayıda kablosuz IP kamera kullandığını açıklayan araştırmacılar

İnternet'e bağlı binlerce kablosuz IP kameranın saldırganların onları kaçırmasına ve aygıt yazılımlarını değiştirmesine izin veren ciddi güvenlik zayıflıkları var. Güvenlik firması Qualys'den iki araştırmacıya göre.

Kameralar ABD'de Foscam markası altında satılıyor, ancak aynı marka Avrupa'da ve farklı markalarda bulunabiliyor, diyor Qualys araştırmacıları Sergey Shekyan ve Artem Harutyunyan, cihazların güvenliğini analiz ettiler ve bulgularını Perşembe günü Amsterdam'daki Box güvenlik konferansında Hack'de sunacaklar.

Eğitmenler Kamera satıcısına göre, yönlendiricilerde port yönlendirme kuralları oluşturarak cihazların İnternet'ten nasıl erişilebilir hale getirileceğine dair talimatlar bulunmaktadır. Bu nedenle, bu tür pek çok cihaz internete maruz kalıyor ve uzaktan saldırıya geçebiliyor, araştırmacılar dedi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Kameraların bulunması kolay ve yapılabilir. çeşitli yollarla. Bir yöntem, kameraların Web tabanlı kullanıcı arayüzlerine özgü bir HTTP başlığı aramak için Shodan arama motorunun kullanılmasını içerir. Böyle bir sorgu 100 binden fazla cihaza geri dönecek, araştırmacılar dedi.

Bu kameraları satan satıcılar da kendi dinamik DNS servislerini kullanmak için yapılandırdılar. Örneğin, Foscam kameraları [iki harf ve dört rakam].myfoscam.org türünde bir ana bilgisayar adı atanır. Tüm *.myfoscam.org ad alanını tarayarak bir saldırgan, internete bağlı çoğu Foscam kamerayı tanımlayabileceğini belirtti. Araştırmacılar.

Her 10 kameranın iki tanesinde, kullanıcıların varsayılan "admin" kullanıcı adıyla oturum açmasına izin verilir. araştırmacılar, ve şifre yok. Kullanıcı tarafından yapılandırılan şifrelere sahip olan diğer işlemler için, içeri girmenin başka yolları da var.

Saldırı yöntemleri

Bir yöntem, uzaktaki saldırganların anlık görüntü almasına olanak tanıyan kameranın Web arayüzündeki yeni keşfedilen bir güvenlik açığından yararlanmaktır. Araştırmacılar, cihazın hafızasının

Bu bellek dökümünde, yönetici kullanıcı adı ve parola, Wi-Fi kimlik bilgileri veya yerel ağdaki aygıtlarla ilgili ayrıntılar gibi diğer hassas bilgilerle birlikte açık metinde yer alacak.

satıcı bu güvenlik açığını en son ürün yazılımında yandı, Foscam fotoğraf makinelerinin yüzde 99'unun Internet'te hala eski ürün yazılımı sürümlerini çalıştırdığını ve savunmasız olduklarını söylediler. Ayrıca, kamera için operatör düzeyinde kimlik bilgilerine sahipseniz, en son üretici yazılımı yüklü olsa bile bu güvenlik açığından yararlanmanın bir yolu da vardır.

Başka bir yöntem, arabirimde yer alan siteler arası bir talep sahtekarlığı (CSRF) kusurundan yararlanmak için kandırmaktır. özel olarak hazırlanmış bir bağlantıyı açmak için kamera yöneticisi. Bu, kameraya ikincil yönetici hesabı eklemek için kullanılabilir.

Üçüncü bir yöntem, şifreyi tahmin etmek için bir kaba kuvvet saldırısı yapmaktır, çünkü kameranın buna karşı bir koruması yoktur ve şifreler 12 ile sınırlıdır. karakterler, araştırmacılar dedi.

Bir saldırgan bir kameraya eriştikten sonra ürün yazılımı sürümünü belirleyebilir, internetten bir kopyasını indirebilir, paketinden çıkartabilir, hileli kod ekleyebilir ve cihaza geri yazabilir.

Firmware, gömülü cihazlar için Linux tabanlı bir işletim sistemi olan uClinux'a dayanmaktadır, dolayısıyla teknik olarak bu kameralar İnternet'e bağlı Linux makinelerdir. Bu, bir botnet istemcisi, bir vekil veya tarayıcı gibi keyfi bir yazılımı çalıştırabilecekleri anlamına geliyor. Araştırmacılar.

Kameralar yerel ağa da bağlı olduklarından, "olmayan yerel cihazları tespit etmek ve uzaktan saldırmak için kullanılabilirler." Aksi takdirde internetten erişilebilirler, dediler.

Sadece 16MB RAM ve yavaş bir CPU'ya sahip olduklarından ve kaynakların çoğunun varsayılan süreçleri tarafından kullanıldığından bu cihazlarda çalıştırılabilecek bazı sınırlamalar vardır. Bununla birlikte, araştırmacılar birkaç pratik saldırıyı tanımladı. Bunlardan biri, Web arayüzünde listelenmeyen gizli bir arka kapı yöneticisi hesabı oluşturmayı içeriyor.

İkinci bir saldırı, Web arabirimi yerine port 80'de bir proxy sunucusunu çalıştırmak için ürün yazılımını değiştirmeyi içeriyor. Bu vekil, kimlerin bağlanacağına bağlı olarak farklı davranacak şekilde ayarlanacaktır.

Örneğin, yönetici kameranın bağlantı noktası 80 üzerinden erişirse, proxy normal Web arabirimini görüntüleyecektir çünkü yönetici tarayıcısını kameranın IP adresini bir proxy olarak kullanın. Ancak, tarayıcılarını bu şekilde yapılandıran bir saldırganın bağlantılarını proxy üzerinden gerçekleştirmesi gerekir.

Üçüncü bir saldırı senaryosu, Web arayüzünü uzaktan barındırılan bir JavaScript kodu parçası yüklemek için zehirlemeyi içerir. Bu, saldırganın arabirimi ziyaret ettiğinde kamera yöneticisinin tarayıcısını etkilemesine izin verir.

Otomatik saldırılar

Araştırmacılar, enjekte etmek de dahil olmak üzere bu saldırıların çoğunu otomatikleştirmek için kullanılabilen "getmecamtool" adlı açık kaynaklı bir araç yayınladılar. Araştırmacılar, yazılımın çalıştırılacağı ya da Web arayüzünün eklendiği yürütülebilir dosyaları.

Aracın otomatikleştirmediği tek şey, kimlik doğrulama baypas saldırılarıdır. Bu araç, hedeflenen kamera için kullanılacak geçerli giriş kimlik bilgileri gerektirir, araştırmacıların suistimalini sınırlamak için aldığı bir ölçü.

Kameralar aynı zamanda servis eşzamanlı saldırılara da duyarlıdır, çünkü bunlar yalnızca yaklaşık 80 eşzamanlı HTTP'yi işleyebilir bağlantıları. Araştırmacılar, örneğin bir soygunu yaparken kamerayı devre dışı bırakmak için bu tür bir saldırının kullanılabileceğini belirttiler.

En iyi şey, bu kameraların internete maruz kalmamasıdır. Ancak, eğer gerekliyse, kameralar katı kurallarla güvenlik duvarlarının veya izinsiz giriş önleme sistemlerinin arkasına yerleştirilmelidir.

Erişim sadece sınırlı sayıda güvenilir IP adresinden alınabilir ve maksimum eşzamanlı bağlantı sayısı olmalıdır. kısıldılar, dediler. Kameraların yerel ağdan yalıtılması da, yerel cihazlara saldırmaktan kötüye kullanılmasını önlemek için iyi bir fikirdir.

Hassas olduğu bilinmeyen yüksek çözünürlüklü bir IP kamerayı kullanmak istiyorsanız Bu hack, biz üç yeni modellerin değerlendirmeleri var.