Több sebből véreznek a Foscam kamerák

​A Foscam IP-kamerák kapcsán számos biztonsági hiányosságra derült fény, amelyek közül több kritikus veszélyességűnek tekinthető.
 
hirdetés
Az F-Secure biztonsági kutatói alaposan szemügyre vettek néhány Foscam által fémjelzett IP-kamerát. A gyártó neve ez esetben azért nem elsődleges, mert a vizsgált kamerák számos néven váltak már elérhetővé a piacon. Így például OptiCam név alatt is.
 
A szakértők elsődlegesen az Opticam i5 és a Foscam C2 típusú készülékeket vetették alá biztonsági elemzéseknek, és összesen 18 sebezhetőséget tártak fel. Ezek között akad nem biztonságosan létrehozott gyári fiók, beégetett jelszó, rejtett vagy nem dokumentált Telnet funkció, parancsinjektálásra módot adó hiba, hozzáféréskezelési hiányosság, XSS-sérülékenység és puffertúlcsordulási hiba is. Vagyis meglehetősen változatos a biztonsági rések palettája, amelyek önmagukban és együttesen is kockázatokat vetnek fel.
 
A kutatók több támadást is szimuláltak. Az egyik esetben elérték, hogy hitelesítés nélkül az egyik nyitott porton keresztül parancsokat futtattak le a kamerán, és egy új felhasználói fiókot hoztak létre root jogokkal felvértezve.
 
Egy másik támadás során pedig egy jelszó nélküli FTP-elérésen keresztül aktiváltak egy Telnet funkciót, majd egy bárki számára írható konfigurációs fájl módosításával elérték, hogy a saját programjuk is betöltődjön a kamera újraindításakor. Ezzel biztosították az állandó "jelenlétet".
 
Az F-Secure természetesen nem volt elragadtatva ettől a teljesítménytől, főleg azért nem, mert a hibajavítások még mindig nem elérhetők, pedig a gyártó értesítésére már korábban sor került.
 
"A biztonság nem volt szempont e termékek tervezése során. A fejlesztők arra koncentrálhattak, hogy a kamerák működjenek és szállíthatók legyenek. A biztonságra való törekvés hiánya azonban kockázatnak teszi ki a felhasználók hálózatait" - nyilatkozta Janne Kauhanen, az F-Secure kiberbiztonsági szakértője.
 
Véleménye szerint érdemes megváltoztatni az alapértelmezett jelszavakat. Viszont fontos felhívni a figyelmet arra, hogy ezúttal önmagában ez sem igazán hatékony védelemi megoldás, mivel a kamerákban beégetett jelszavak is találhatók. Ezért fontos, hogy e termékek lehetőleg kontrollált hálózati környezetben, dedikált hálózaton vagy VLAN-on működjenek.
 
Az F-Secure egy 12 pontból álló ajánlást is eljuttatott a Foscamhoz, hogy a kamerák biztonsága növelhető legyen. Az pedig majd kiderül, hogy a tanácsokból mennyit fogad meg a gyártó. Mindenesetre az érintett IP-kamera tulajdonosoknak érdemes résen lenniük, és figyelni, illetve telepíteni az esetlegesen elérhetővé váló frissítéseket.
Vélemények
 
  1. 3

    Az IBM WebSphere Application Server újabb frissítése egy adatszivárgásra módot adó biztonsági rést foltoz be.

  2. 3

    A Cacti esetében egy XSS-alapú károkozásokra lehetőséget adó hibára derült fény.

  3. 1

    A Shadowpad trójai rendszerinformációk kiszivárogtatásával, illetve kártékony kódok terjesztésével segíti a kiberbűnözőket.

hirdetés
Partnerhírek
Adatokat gyűjt az ingyenes Disney mobiljáték

Aggódó szülők egy csoportja pert indított a Disney ellen az Amerikai Egyesült Államokban: a vád, hogy 43 ingyenes mobilos játékuk titokban adatot gyűjt a gyermekekről.

Ne gépelj az internetes megbeszélések alatt!

Az online értekezletek alatt sokan nem teszik le egyéb munkájukat, hanem tovább folytatják az e-mailek és dokumentumok gépelését, ami biztonsági kockázatot is rejt.

hirdetés
Közösség
1