В июне была обнаружена уязвимость в последней версии прошивки беспроводной облачной камеры D-Link DCS-930L, эксперты компании Senrio проэксплуатировали данную уязвимость,
которая, как оказалось, позволяет удаленно выполнить код, с ее помощью возможно установить пароль для входа в web-интерфейс. Злоумышленник может управлять камерой, отправив специальные команды и получив удаленный доступ к видео с камеры. D-Link DCS-930L — это камера наблюдения за домом и офисом, умеет работать с сетевыми устройствами как через стандартный Ethernet 10/100, соединяясь витой парой с роутером, так и по Wi-Fi, n-режим обеспечивает в идеале до 150 Мбит/с. Поддерживаются все типы шифрования.
Данная уязвимость свойственна более чем 120 продуктам производства D-Link, это и камеры, и точки доступа, и модемы, и маршрутизаторы, и устройства для хранения данных. Уязвимость находится в компоненте прошивки dcp, который обрабатывает удаленные команды, прослушивая порт 5978. Сервис dcp является составной частью модуля, обеспечивающего подключение устройства к сервису mydlink.
Поисковая система Shodan помогла экспертам Senrio обнаружили боле 400 тысяч устройств D-Link, доступных через интернет. Согласно подсчетам, 55 тысяч из них – камеры DCS-930L, а уязвимая прошивка установлена на 14 тысячах.
Такого рода уязвимости могут создавать ботнет из устройств «Интернета вещей», как пример — ботсеть LizardStresser, которая работает на базе IoT-устройств и используется для осуществления мощных DDoS-атак. LizardStresser был создан не так давно группой Lizard Squad, атаки главным образом были направлены на IoT-устройствах с применением паролей по-умолчанию, используемых на большом количестве устройств. Недавно была замечена новая волна атак с DDoS-ботнета LizardStresser, в состав которого входят сотни видеокамер, доступных из Интернета.
Крупные бразильские банки и телекоммуникационные компании, правительственные учреждения и американские игровые веб-сервисы ранее были подвержены атакам данной группировки. Исходные коды данного инструментария были выложены в открытый доступ в 2015 году, и не остались незамеченными, была организована некая криминальная группа, которая попыталась построить свой ботнет. В июне эксперты насчитали более сотни командных серверов LizardStresser, 1,3 тысяч веб-камер, с которых проводятся атаки мощностью до 400 Гбит/с.
Комментарии (10)
skylevels
10.07.2016 23:32+3Больше похоже на рекламу чем на страшилку. Cам D-link имхо сдулся, уже лет 5 как.
rusmikev
11.07.2016 09:20Хм. 5 лет назад я никому не рекомендовал брать роутер от D-Link. Все было очень печально.
Сейчас же у них есть модели, которые можно рекомендовать.
Doctor5772
11.07.2016 12:14Лет 5 назад как раз учился в техникуме, и был один общий Wi-Fi роутер от D-Link, модель и версию прошивки не припомню. Роутер запомнился весьма простым багом, позволяющим обойти ограничения простого пользователя. «Пользователей» роутера было 2: администраторский и просто пользовательский, разница в выводе доступных пунктов меню. И всё. Не проверялись права доступа, только пункты меню скрывались. А уязвимость эксплуатировалась успешно через актуальную ещё тогда Opera 12, в инспекторе кода я просто поменял несколько значений из массива с «user» на «admin», получал полное меню, и после этого менял параметры роутера как хотел + узнавал пароль от Wi-Fi. И пользовался на «халяву» этим интернетом. Несмотря на то что часто приходилось «вытаскивать» себя из blacklist по MAC, через некоторое время я поведал «админу» об уязвимости, и доступ мне так же оставили. Мораль: проверять пароли и права доступа.
ComodoHacker
11.07.2016 00:21+1И ни одной ссылки на источник. Почему такое неуважение к коллегам?
Источник с техническими подробностями: http://blog.senr.io/blog/home-secure-home
Бюллетень D-Link: http://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10062
P.S. Уязвимость — банальное переполнение стека.
5exi
11.07.2016 12:15Это что получается, эти камеры напрямую подключают к инету по выделенному IP? Зачем так делать?
SaintReset
11.07.2016 13:13+1Дак классика же. Позвольте описать типичный сценарий. Обыватель покупает IP камеру. Приглашает какого-либо «человека», который умеет зайти в вэбморду домашнего маршрутизатора и просит сделать так, чтобы видеть свою гостинную, гараж, подъезд к дому. «Человек», дабы не заморачиваться включает DMZ на айпишку камеры, забирает свою мзду и уходит. Причем что все вопросы безопасности коротятся наглухо на фразе «да кому ты нужен со своей камерой, никто тебя ломать не будет».
И поверьте, этот сценарий настолько типичен, что дальше некуда. У меня есть знакомый инсталлятор систем видеонаблюдения. Так вот когда у него вариант с DMZ не прокатывает, то он начинает звонить мне и напрягать прокинуть парочку специфичных портов наружу. Звонки от него поступают не шибко часто, ибо на некоторых аппаратах он научился пользоваться порт-форвардом. Но всё-же я боюсь представить то количество оборудования, которое уже поставлено и работает и смотрит наружу дэфолтными учетками и 4-х значными циферными паролями.IllusionTurtle
11.07.2016 15:33+1Лично ставил аналогичную камеру в магазин, на мои объяснения что не хорошо чтобы камера торчала в инет, а камера торчала совсем в инет, т.е. даше роутера не было перед ней — заказчику было пофиг — «да кому я нужен со своей камерой и никто меня ломать не будет»…
agriiii
Можно нейтрализовать просто закрыв порт?