Windows

Fouten in de D-Link-firmware zorgen voor spannend IP-videostream

D Link IP Surveillance 101 Video Tutorial

D Link IP Surveillance 101 Video Tutorial
Anonim

Als u een bank runt en een IP-videocamera van D-Link gebruikt, wilt u hier misschien op letten.

Een aantal IP-gebaseerde bewakingscamera's gemaakt door D-Link hebben firmwarekwetsbaarheden waardoor een aanvaller de videostream zou kunnen onderscheppen, aldus beveiligingsonderzoekers.

Core Security, een bedrijf gevestigd in Boston dat is gespecialiseerd in detectie en onderzoek van kwetsbaarheden, publiceerde maandag details van vijf kwetsbaarheden in de firmware van D-Link, die is verpakt in minimaal 14 van zijn producten.

[Lees meer: ​​De beste piekbeschermers voor uw kostbare elektronica]

D-Link maakt een verscheidenheid aan camera's die op internet zijn aangesloten en die het verkoopt voor bedrijven en consumenten. De camera's kunnen afbeeldingen en video opnemen en worden bestuurd via op het web gebaseerde bedieningspanelen. Live feeds kunnen op sommige mobiele apparaten worden bekeken.

Een van de kwetsbare modellen, de DCS-5605 / DCS-5635, heeft een bewegingsdetectiefunctie, die D-Link in zijn marketingmateriaal zou aanbevelen voor banken, ziekenhuizen en kantoren.

Onderzoekers van Core Security vonden dat het mogelijk was om zonder authenticatie toegang te krijgen tot een live videostream via de RTSP (real-time streamingprotocol) en een ASCII-uitvoer van een videostream in de betrokken modellen. RTSP is een protocol op toepassingsniveau voor het overdragen van realtime gegevens, volgens de Internet Engineering Task Force.

De onderzoekers vonden ook een probleem met het webgebaseerde bedieningspaneel dat een hacker in staat zou stellen willekeurige opdrachten in te voeren. In een andere fout codeerde D-Link inloggegevens in de firmware die "effectief dient als een achterdeur, waarmee externe aanvallers toegang kunnen krijgen tot de RTSP-videostream", zegt Core Security in zijn advies.

De technische details worden beschreven in een bericht in de sectie Volledige openbaarmaking van Seclists.org, samen met een lijst met de bekende betrokken producten, waarvan sommige zijn uitgefaseerd door D-Link.

Core Security heeft D-Link op 29 maart op de hoogte gesteld van het probleem, volgens een logboek van de interactie tussen de twee bedrijven opgenomen in de posting op Full Disclosure. Het logboek, geschreven door Core, bevat interessante details over hoe de twee bedrijven correspondeerden en blijkbaar een aantal meningsverschillen had.

Volgens Core zei D-Link dat het een "ongepubliceerd bounty-programma voor beveiligingsleveranciers had." Veel bedrijven hebben bug-programma's die onderzoekers belonen met contant geld of andere prikkels om beveiligingsproblemen in hun producten te vinden en hen te informeren voordat ze de details publiekelijk vrijgeven.

Rond 20 maart verzocht D-Link dat Core Security een "memorandum van begrip" tekende als onderdeel van het programma, dat door Core is afgewezen. De voorwaarden van de notitie zijn niet beschreven. Core vertelde D-Link "dat het ontvangen van geld van leveranciers de weergave van het rapport kan vertekenen."

De twee bedrijven hadden nog een kleine run-in. D-Link vertelde Core dat het de patches en richtlijnen zou vrijgeven om de problemen op het ondersteuningsforum van D-Link op te lossen. D-Link zou dan een maand wachten voordat hij een openbare aankondiging zou doen.

Core Security vond die suggestie niet leuk. Afgelopen woensdag vroeg Core aan D-Link "voor een toelichting op de releasedatum van D-Link en meldt dat het vrijgeven van oplossingen voor een geprivilegieerde gesloten groep en / of een gesloten forum of lijst onaanvaardbaar is."

Het forum van D-Link heeft wel een inlogveld, maar het lijkt erop dat iedereen veel van de berichten kan bekijken zonder te registreren. D-Link kwam een ​​dag later terug en zei dat patches gereed zijn en op de website "de komende paar dagen" zullen worden geplaatst, schreef Core.

D-Link reageerde niet onmiddellijk op verzoeken om commentaar. Het was onduidelijk van het supportforum van het bedrijf of de firmware-updates al publiekelijk waren gepost.

Core Security crediteerde de onderzoekers Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria en Fernando Miranda met het vinden van de problemen.