08 декабря 2016

Sony закрыла бэкдоры в IP-камерах IPELA Engine

Sony обновила прошивки IP-камер, пользующихся популярностью у бизнес-структур и правоохранительных органов, устранив при этом бэкдоры удаленного администрирования. Их присутствие позволяло злоумышленникам приобщать такие устройства к ботнету, манипулировать изображениями и проникать в сети.

Новые прошивки для изделий линейки IPELA Engine были выпущены 28 ноября, через месяц с лишним после получения уведомления от эксперта SEC Consult Штефана Фибёка (Stefan Viehböck). Как поняли исследователи, бэкдоры были оставлены намеренно для административных нужд: отладки, функционального тестирования в заводских условиях.

«Злоумышленник может использовать камеры с тем, чтобы закрепиться в сети для продолжения атаки, нарушить функционирование камер, подменить изображения/видео, приобщить камеры к Mirai-подобному ботнету или просто шпионить за вами», — пишут исследователи в блоге. По свидетельству SEC Consult, бэкдоры присутствовали в 80 разных IP-камерах производства Sony; их можно эксплуатировать при дефолтных настройках в локальной сети либо удаленно, если веб-интерфейс доступен из Интернета.

Корнем зла являлись два прописанных в коде хэшированных пароля, позволявших подключиться к камере через последовательный порт, Telnet или SSH. Взломать один из паролей оказалось легко: по умолчанию идентификаторы были заданы как admin:admin. Второй пароль предназначался для пользователя root, он открывал возможность для расширения доступа к устройству и проникновения в сеть. Соответствующая учетная запись разрешала доступ к незадокументированной функции интерфейса CGI, запускающей Telnet для удаленного доступа. После этого можно было использовать другой бэкдор, уровня ОС, для доступа к шеллу Linux с root-привилегиями. «Автор атаки сможет получить полный контроль над IP-камерами IPELA Engine в сети», — заключают исследователи.

Уязвимость была протестирована на камере SNC-DH160 с прошивкой V1.82.01 и на Gen6 с прошивкой V2.7.0. Впоследствии разработчик предоставил SEC Consult полный список уязвимых продуктов.

Исследователи настоятельно рекомендуют установить новые прошивки и ограничить доступ к камерам путем использования VLAN или изменения правил сетевого экрана.


Источник: Threatpost | Новости ИБ