Ботнеты, построенные из сотен тысяч заражённых устройств “Интернета вещей”, стали одним из главных трендов в кибер-угрозах уходящего года – и видимо, будут столь же популярны в следующем году. Однако предсказывать подобные угрозы (и бороться с ними) можно на несколько лет раньше. Недавно, рассказывая о ботнетах на основе DVR-систем и веб-камер, мы вспоминали, что наши исследователи предупреждали об уязвимостях подобных устройств ещё в 2013 году.

На днях исследователи из SEC Consult обнаружили уязвимость, которая позволяет атаковать 80 моделей IP-камер Sony IPELA Engine, превращая их в ботнеты или используя для шпионажа. Интересная особенность состоит в том, что удалённый доступ, который используется для атаки (Telnet), в этих камерах отключен. Однако бэкдор, оставленный разработчиками, позволяет включить его секретной командой.

Как сообщают исследователи, вначале они нашли в прошивке камеры файлы, в которых содержались хэши паролей для пользователей admin и root:



Первый из паролей оказался вполне классический – он совпадает с именем пользователя (admin:admin). Пароль для пользователя root также можно добыть из хэша. Подобные данные можно использовать для получения доступа к устройству через физический порт, либо удаленно, через Telnet или SSH – как раз такую возможность использовали авторы ботнета Mirai, отыскивая роутеры с дефолтными паролями типа admin:admin.

Однако в данном случае ситуация оказалась хитрее. Формально, камеры Sony не дают доступа по Telnet. Тем не менее, выяснилось, что разработчики прошивки камеры оставили себе такую возможность – видимо, для тестирования. Для этого они написали отдельный код, который запускает Telnet в ответ на специальный HTTP-запрос. Имя и логин пользователя, которые используются для HTTP-аутентификации (primana:primana) также зашиты в коде:



Таким образом злоумышленник, получив все необходимые ему коды авторизации прямо из файлов прошивки, может дистанционно загрузить на IP-камеру любой вредоносный код, что даёт ему множество разнообразных возможностей – от банального подсматривания и создания ботнетов до редактирования записей камеры (напомним, что по иронии судьбы, миллионы этих уязвимых устройств по всему миру называются “камерами безопасности”).

Исследователи сообщают, что компания Sony уже выпустила обновления прошивки для уязвимых камер. Однако нужно понимать, что эти обновления дойдут до цели нескоро – ведь веб-камеры, как и многие другие гаджеты “Интернета вещей”, не оснащены понятными для простого пользователя интерфейсами, и сама культура оперативного обновления таких устройств пока не сложилась.

По оценкам Gartner, к 2020 году количество IoT-устройств достигнет 20 млрд, а значит, появится ещё больше объектов для массовых атак.

Подробнее о том, как должна быть организована безопасность “Интернета вещей” на всех этапах его создания и использования, вы можете узнать на бесплатном вебинаре Антона Тюрина, руководителя группы разработки методов обнаружения атак компании Positive Technologies. Вебинар под названием “Как оставить IoT-хакера без работы” пройдёт 15 декабря в 14 часов на сайте компании. Зарегистрироваться нужно заранее.

P. S. Напоминаем, что совсем скоро при поддержке Positive Technologies в Москве пройдет курс по asyncio+aiohttp от Core-разработчика Python Андрея Светлова.

Мы хотим предложить один бесплатный билет на семинар автору лучшего вопроса для Андрея — вопрос выберет он сам и ответит на него в ходе занятия. Присылайте свои вопросы по адресу: asyncio2016@ptsecurity.com.
Поделиться с друзьями
-->

Комментарии (5)


  1. MinamotoSoft
    11.12.2016 09:44

    И где же «специальный HTTP-запрос»?
    Как я могу протестировать свою камеру на присутствие указанной уязвимости?


    1. Funbit
      12.12.2016 05:00

      Судя по коду, нужно просто открыть веб страницу с приглашением ваода логина/пароля и ввести primana/primana, после чего стучаться в телнет.


  1. Karpion
    12.12.2016 01:54
    +1

    Недавно меня минусовали за предложения преследования подобных криворуких разработчиков государством. А ведь в данном случае фирму Sony надо раз и навсегда отучить от внедрения подобных backdoors — предложить ей на выбор штраф или запрет на год поставки их продукции в страну. После чего, я надеюсь, разработчики и их начальник, так подставившие фирму, сделают себе харакири, а оставшиеся разработчики будут подходить к вопросу безопасности намного ответственнее.


    1. Rumlin
      12.12.2016 10:56

      Подозреваю, что это не собственные разработчики Sony, а аутсорс по контракту с Sony.


      1. Karpion
        12.12.2016 14:10
        -1

        Значит, пусть делает харакири тот, кому поручили выбор аутсорсера и последующий надзор за их работой. Возможно, харакири должен сделать и тот, кто составил ТЗ, в котором не было пункта «чтоб никаких бэкдоров и духу не было».