Windows

Les caméras IP sans fil largement utilisées ouvrent le détournement sur Internet, disent les chercheurs

Eyes on the Skies (Full movie)

Eyes on the Skies (Full movie)

Table des matières:

Anonim

Des milliers de caméras IP sans fil connectées à Internet présentent de graves faiblesses de sécurité qui permettent aux attaquants de les pirater Les caméras sont vendues sous la marque Foscam aux États-Unis, mais les mêmes appareils peuvent être trouvés en Europe et ailleurs avec une marque différente, ont déclaré les chercheurs de Qualys Sergey Shekyan et Artem Harutyunyan, qui a analysé la sécurité des appareils et devrait présenter ses résultats lors de la conférence sur la sécurité de Hack in the Box à Amsterdam jeudi.

Tutoriels fournis ed par le fournisseur d'appareils photo contiennent des instructions sur la façon de rendre les appareils accessibles depuis Internet en définissant des règles de transfert de port dans les routeurs. Pour cette raison, beaucoup de ces appareils sont exposés à Internet et peuvent être attaqués à distance, disent les chercheurs.

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]

Trouver les caméras est facile de plusieurs façons. Une méthode consiste à utiliser le moteur de recherche Shodan pour rechercher un en-tête HTTP spécifique aux interfaces utilisateur Web des caméras. Une telle requête retournera plus de 100 000 appareils, selon les chercheurs.

Les vendeurs qui vendent ces caméras les ont également configurés pour utiliser leurs propres services DNS dynamiques. Par exemple, les caméras Foscam reçoivent un nom d'hôte du type [deux lettres et quatre chiffres].myfoscam.org. En analysant l'intégralité de l'espace nom *.myfoscam.org, un attaquant pourrait identifier la plupart des caméras Foscam connectées à Internet.

Environ deux caméras sur dix permettent aux utilisateurs de se connecter avec le nom d'utilisateur "admin" par défaut. et aucun mot de passe, les chercheurs ont dit.

Méthodes d'attaque

Une méthode consiste à exploiter une vulnérabilité récemment découverte dans l'interface Web de la caméra pour permettre aux pirates distants d'obtenir un instantané.

Cette mémoire contiendra le nom d'utilisateur et le mot de passe de l'administrateur en texte clair ainsi que d'autres informations sensibles telles que les informations d'identification Wi-Fi ou les informations sur les périphériques du réseau local. le fournisseur a corrigé cette vulnérabilité dans le dernier firmware, 99% des caméras Foscam sur Internet utilisent encore des versions de firmware plus anciennes et sont vulnérables, ont-ils déclaré. Il existe également un moyen d'exploiter cette vulnérabilité même avec le dernier firmware installé si vous avez des informations d'identification au niveau opérateur pour la caméra.

Une autre méthode consiste à exploiter une faille CSRF (cross-site request forgery) administrateur de caméra pour ouvrir un lien spécialement conçu. Ceci peut être utilisé pour ajouter un compte d'administrateur secondaire à la caméra.

Une troisième méthode consiste à effectuer une attaque en force brute afin de deviner le mot de passe, car la caméra n'a aucune protection contre ce problème et les mots de passe sont limités.

Une fois qu'un pirate accède à un appareil photo, il peut déterminer sa version du micrologiciel, télécharger une copie sur Internet, la décompacter, y ajouter du code malveillant et l'écrire sur l'appareil.

Le firmware est basé sur uClinux, un système d'exploitation basé sur Linux pour les périphériques embarqués, donc techniquement ces caméras sont des machines Linux connectées à Internet. Cela signifie qu'ils peuvent exécuter des logiciels arbitraires comme un client botnet, un proxy ou un scanner, les chercheurs ont dit.

Puisque les caméras sont également connectées au réseau local, elles peuvent être utilisées pour identifier et attaquer à distance des appareils locaux qui ne seraient pas utilisés. Ils seraient autrement accessibles depuis Internet, ont-ils dit.

Il y a certaines limitations à ce qui peut être exécuté sur ces périphériques car ils ne disposent que de 16 Mo de RAM et d'un processeur lent et la plupart des ressources sont déjà utilisées par ses processus par défaut. Cependant, les chercheurs ont décrit plusieurs attaques pratiques. L'une d'entre elles consiste à créer un compte d'administrateur de porte dérobée caché qui n'est pas répertorié sur l'interface Web

Une deuxième attaque implique la modification du microprogramme pour exécuter un serveur proxy sur le port 80 au lieu de l'interface Web. Par exemple, si l'administrateur accède à la caméra via le port 80, le proxy affichera l'interface Web normale car l'administrateur n'aurait pas configuré son navigateur pour utilisez l'adresse IP de la caméra comme proxy. Cependant, un attaquant qui configure son navigateur de cette manière aurait sa connexion tunnelée via le proxy.

Un troisième scénario d'attaque consiste à empoisonner l'interface Web pour charger un morceau de code JavaScript hébergé à distance. Cela permettrait à l'attaquant de compromettre le navigateur de l'administrateur de la caméra lorsqu'il visite l'interface

Attaques automatiques

Les chercheurs ont publié un outil open source appelé "getmecamtool" qui peut être utilisé pour automatiser la plupart de ces attaques, y compris l'injection.

La seule chose que l'outil n'automatise pas, ce sont les attaques par contournement d'authentification, selon les chercheurs. L'outil nécessite des identifiants de connexion valides à utiliser pour la caméra ciblée, une mesure que les chercheurs ont prise pour limiter son abus.

Les caméras sont également sujettes aux attaques par déni de service car elles ne peuvent gérer que 80 HTTP simultanés. les liaisons. Selon les chercheurs, une telle attaque pourrait être utilisée, par exemple, pour désactiver la caméra lors d'un vol.

Le mieux est que ces caméras ne soient pas exposées à Internet, ont indiqué les chercheurs. Cependant, si cela est nécessaire, les caméras doivent être déployées derrière des pare-feu ou des systèmes de prévention des intrusions avec des règles strictes.

L'accès à ces caméras ne doit être autorisé qu'à partir d'un nombre limité d'adresses IP fiables. étranglés, ils ont dit. Isoler les caméras du réseau local est également une bonne idée, afin d'éviter qu'elles ne soient utilisées abusivement pour attaquer des appareils locaux.

Si vous êtes intéressé par le déploiement d'une caméra IP haute définition dont on ne sait pas qu'elle est susceptible à ce hack, nous avons des critiques de trois nouveaux modèles.