Les failles du micrologiciel D-Link pourraient permettre l'espionnage de flux vidéo IP

Si vous exploitez une banque et que vous utilisez une caméra vidéo IP de D-Link, vous voudrez peut-être faire attention à cela.

Un certain nombre de caméras vidéo de surveillance IP Selon des chercheurs en sécurité, Core Security, une société basée à Boston spécialisée dans la détection et la recherche de vulnérabilités, a publié lundi les détails de cinq vulnérabilités. dans le micrologiciel de D-Link, qui est intégré dans au moins 14 de ses produits.

[Plus d'informations: Les meilleures protections contre les surtensions pour vos appareils électroniques coûteux]

D-Link vend une variété de caméras connectées à Internet aux entreprises et aux consommateurs. Les caméras peuvent enregistrer des images et des vidéos et être contrôlées via des panneaux de contrôle Web. Les flux en direct peuvent être visualisés sur certains appareils mobiles.

L'un des modèles vulnérables, le DCS-5605 / DCS-5635, possède une fonction de détection de mouvement, que D-Link suggère dans ses documents marketing serait bonne pour les banques, hôpitaux et bureaux.

Les chercheurs de Core Security ont découvert qu'il était possible d'accéder sans authentification à un flux vidéo en direct via le RTSP (protocole de streaming en temps réel) ainsi qu'à une sortie ASCII d'un flux vidéo dans les modèles concernés. RTSP est un protocole de niveau application pour le transfert de données en temps réel, selon l'Internet Engineering Task Force.

Les chercheurs ont également trouvé un problème avec le panneau de contrôle basé sur le Web qui permettrait à un pirate de saisir des commandes arbitraires. Dans une autre erreur, D-Link accréditations codées en dur dans le firmware qui "sert efficacement de porte dérobée, ce qui permet aux attaquants distants d'accéder au flux vidéo RTSP", a déclaré Core Security dans son avis.

Les détails techniques sont décrits dans un article dans la section Full Disclosure de Seclists.org, avec une liste des produits concernés connus, dont certains ont été éliminés par D-Link

Core Security a notifié D-Link du problème le 29 mars, selon un journal de l'interaction des deux sociétés inclus dans l'affichage sur Full Disclosure. Le journal, écrit par Core, contient des détails intéressants sur la façon dont les deux sociétés ont correspondu et apparemment quelques désaccords.

Selon Core, D-Link a déclaré avoir un "programme de primes non publié pour les vendeurs de sécurité". Beaucoup d'entreprises ont des programmes de bogues qui récompensent les chercheurs avec des incitations financières ou autres pour trouver des problèmes de sécurité dans leurs produits et les informent avant de publier les détails.

Vers le 20 mars, D-Link a signé un "Memo of Understanding" dans le cadre du programme, que Core a rejeté. Les termes du mémo n'ont pas été décrits. Core a déclaré à D-Link «que recevoir de l'argent des fournisseurs peut fausser le point de vue du rapport.»

Les deux sociétés ont eu une autre petite rencontre. D-Link a dit à Core qu'il publierait les correctifs et les conseils pour résoudre les problèmes sur le forum de support de D-Link. D-Link attendrait un mois avant de faire une annonce publique.

Core Security n'a pas aimé cette suggestion. Mercredi dernier, Core a demandé à D-Link "de clarifier la date de sortie de D-Link et notifier que la publication de correctifs dans un groupe fermé privilégié et / ou un forum ou une liste fermée est inacceptable."

Le forum de D-Link un champ de connexion, mais il semble que tout le monde peut voir la plupart des messages sans s'inscrire. D-Link est revenu un jour plus tard et a déclaré que les correctifs sont prêts et seront affichés sur son site Web "au cours des prochains jours", écrit Core.

D-Link n'a pas immédiatement répondu aux demandes de commentaires. Core Security a confié à ses chercheurs Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria et Fernando Miranda le soin de trouver les problèmes.