Op grote schaal gebruikte draadloze IP-camera's die openstaan ​​voor kaping via internet, zeggen onderzoekers

Duizenden draadloze IP-camera's die met internet zijn verbonden, hebben ernstige beveiligingsproblemen waardoor aanvallers ze kunnen kapen en hun firmware kunnen aanpassen volgens twee onderzoekers van beveiligingsbedrijf Qualys.

De camera's worden verkocht onder het merk Foscam in de VS, maar dezelfde apparaten zijn in Europa en elders te vinden met verschillende merken, zeiden Qualys-onderzoekers Sergey Shekyan en Artem Harutyunyan, die analyseerden de beveiliging van de apparaten en zijn gepland om hun bevindingen te presenteren op de Hack in the Box beveiligingsconferentie in Amsterdam op donderdag.

Tutorials provid ed door de leverancier van de camera bevatten instructies voor het toegankelijk maken van de apparaten op het internet door poort-doorstuurregels in routers in te stellen. Vanwege dit, veel van dergelijke apparaten worden blootgesteld aan het internet en kan op afstand worden aangevallen, de onderzoekers zeiden.

[Lees meer: ​​Hoe malware te verwijderen van uw Windows-pc]

Het vinden van de camera's is eenvoudig en kan worden gedaan op verschillende manieren. Eén methode omvat het gebruik van de Shodan-zoekmachine om te zoeken naar een HTTP-header die specifiek is voor de webgebaseerde gebruikersinterfaces van de camera's. Een dergelijke zoekopdracht zal meer dan 100.000 apparaten retourneren, aldus de onderzoekers.

De verkopers die deze camera's verkopen, hebben ze ook geconfigureerd om hun eigen dynamische DNS-services te gebruiken. Foscam-camera's krijgen bijvoorbeeld een hostnaam toegewezen van het type [twee letters en vier cijfers].myfoscam.org. Door de volledige *.myfoscam.org-naamruimte te scannen, kon een aanvaller de meeste Foscam-camera's identificeren die op het internet zijn aangesloten, aldus de onderzoekers.

Methoden voor aanval

Een methode is om een ​​recentelijk ontdekt beveiligingslek in de webinterface van de camera te gebruiken waarmee externe aanvallers een snapshot kunnen verkrijgen van het geheugen van het apparaat.

Deze geheugendump bevat de gebruikersnaam en het wachtwoord van de beheerder in duidelijke tekst samen met andere gevoelige informatie zoals wifi-inloggegevens of details over apparaten op het lokale netwerk, aldus de onderzoekers. de verkoper heeft dit beveiligingslek gepatcht in de nieuwste firmware, 99 procent van de Foscam-camera's op het internet draait nog steeds op oudere firmwareversies en is kwetsbaar, zeiden ze. Er is ook een manier om dit beveiligingslek te misbruiken, zelfs als de nieuwste firmware is geïnstalleerd, als u over beheerdersreferenties voor de camera beschikt.

Een andere methode is om een ​​CSRF-fout (cross-site request faling) in de interface te misbruiken door de camerabeheerder om een ​​speciaal gemaakte link te openen. Dit kan worden gebruikt om een ​​secundair beheerdersaccount aan de camera toe te voegen.

Een derde methode is om een ​​brute-force aanval uit te voeren om het wachtwoord te raden, omdat de camera geen bescherming biedt en de wachtwoorden beperkt zijn tot 12 tekens, aldus de onderzoekers.

Zodra een aanvaller toegang heeft tot een camera, kan hij de firmwareversie bepalen, een kopie van het internet downloaden, uitpakken, rogue-code toevoegen en deze naar het apparaat schrijven.

De firmware is gebaseerd op uClinux, een op Linux gebaseerd besturingssysteem voor ingesloten apparaten, dus technisch gezien zijn deze camera's Linux-machines die met internet zijn verbonden. Dit betekent dat ze willekeurige software zoals een botnet-client, een proxy of een scanner kunnen uitvoeren, aldus de onderzoekers.

Omdat de camera's ook zijn verbonden met het lokale netwerk, kunnen ze worden gebruikt om lokale apparaten te identificeren en op afstand aan te vallen. anders zijn ze toegankelijk via internet, zeiden ze.

Er zijn enkele beperkingen aan wat er op deze apparaten kan worden uitgevoerd, omdat ze slechts 16 MB RAM en een langzame CPU hebben en de meeste bronnen al door de standaardprocessen worden gebruikt. De onderzoekers beschreven echter verschillende praktische aanvallen. Een daarvan is het maken van een verborgen backdoor beheerdersaccount dat niet op de webinterface staat.

Een tweede aanval betreft het wijzigen van de firmware voor het uitvoeren van een proxyserver op poort 80 in plaats van de webinterface. Deze proxy zou zijn ingesteld om zich anders te gedragen, afhankelijk van wie er verbinding mee maakt.

Als de beheerder bijvoorbeeld via poort 80 toegang tot de camera heeft, geeft de proxy de normale webinterface weer omdat de beheerder zijn browser niet zou hebben geconfigureerd om gebruik het IP-adres van de camera als een proxy. Een aanvaller die zijn browser op deze manier configureert, krijgt zijn verbinding echter via de proxy.

Een derde aanvalscenario omvat het vergiftigen van de webinterface om een ​​op afstand gehost stuk JavaScript-code te laden. Hierdoor kan de aanvaller de browser van de camera-beheerder beschadigen wanneer hij de interface bezoekt.

Geautomatiseerde aanvallen

De onderzoekers hebben een open-sourceprogramma met de naam "getmecamtool" uitgebracht dat kan worden gebruikt om de meeste van deze aanvallen te automatiseren, inclusief injecteren uitvoerbare bestanden naar de firmware of patchen van de webinterface.

Het enige dat de tool niet automatiseert, zijn de authenticatie-bypass-aanvallen, aldus de onderzoekers. De tool vereist geldige inlogreferenties voor de beoogde camera, een maatregel die de onderzoekers hebben genomen om het misbruik ervan te beperken.

De camera's zijn ook gevoelig voor denial-of-service-aanvallen omdat ze ongeveer 80 gelijktijdige HTTP-aanvallen kunnen verwerken verbindingen. Zo'n aanval kan bijvoorbeeld worden gebruikt om de camera uit te schakelen tijdens een diefstal, aldus de onderzoekers.

Het beste is dat deze camera's niet worden blootgesteld aan het internet, aldus de onderzoekers. Als dit echter nodig is, moeten de camera's worden ingezet achter firewalls of inbraakpreventiesystemen met strikte regels.

Toegang tot deze camera's is alleen toegestaan ​​op basis van een beperkt aantal vertrouwde IP-adressen en het maximale aantal gelijktijdige verbindingen moet gesmoord, zeiden ze. Het is ook een goed idee om de camera's van het lokale netwerk te isoleren om te voorkomen dat ze worden misbruikt om lokale apparaten aan te vallen.

Als u geïnteresseerd bent in het gebruik van een high-definition IP-camera waarvan niet bekend is dat deze gevoelig is voor deze hack hebben we beoordelingen van drie nieuwe modellen.