Weit verbreitete IP-Kameras öffnen sich für Entführungen über das Internet, sagen Forscher

Tausende mit dem Internet verbundene drahtlose IP-Kameras haben gravierende Sicherheitslücken, durch die Angreifer sie entführen und ihre Firmware ändern können, so zwei Forscher vom Sicherheitsunternehmen Qualys.

Die Kameras werden in den USA unter der Marke Foscam verkauft, aber die gleichen Geräte gibt es in Europa und anderswo mit unterschiedlichen Markenzeichen, sagten Qualys Forscher Sergey Shekyan und Artem Harutyunyan analysierten die Sicherheit der Geräte und werden ihre Ergebnisse am Donnerstag auf der Sicherheitskonferenz Hack in the Box in Amsterdam vorstellen.

Tutorials zur Verfügung stellen Die vom Kamerahersteller bereitgestellten Anweisungen enthalten Anweisungen dazu, wie die Geräte über das Internet zugänglich gemacht werden können, indem Portweiterleitungsregeln in Routern eingerichtet werden. Aus diesem Grund sind viele dieser Geräte dem Internet ausgesetzt und können aus der Ferne angegriffen werden, so die Forscher.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Das Finden der Kameras ist einfach und kann durchgeführt werden In vielen Wegen. Bei einer Methode wird die Shodan-Suchmaschine verwendet, um nach einem HTTP-Header zu suchen, der für die webbasierten Benutzeroberflächen der Kameras spezifisch ist. Eine solche Abfrage wird mehr als 100.000 Geräte zurückgeben, sagten die Forscher.

Die Hersteller, die diese Kameras verkaufen, haben sie auch so konfiguriert, dass sie ihre eigenen dynamischen DNS-Dienste verwenden. Beispielsweise erhalten Foscam-Kameras einen Hostnamen des Typs [zwei Buchstaben und vier Ziffern].myfoscam.org zugewiesen. Durch das Scannen des gesamten Namensraums *.myfoscam.org könnte ein Angreifer die meisten Foscam-Kameras identifizieren, die mit dem Internet verbunden sind, so die Forscher.

Rund zwei von zehn Kameras erlauben Benutzern, sich mit dem Standardnamen "admin" anzumelden und kein Passwort, sagten die Forscher. Für den Rest, der vom Benutzer konfigurierte Passwörter hat, gibt es andere Möglichkeiten, einzubrechen.

Angriffsmethoden

Eine Methode besteht darin, eine kürzlich entdeckte Schwachstelle in der Webschnittstelle der Kamera auszunutzen, die es entfernten Angreifern ermöglicht, einen Snapshot zu erhalten des Gerätespeichers.

Dieser Speicherabzug enthält den Benutzernamen und das Passwort des Administrators in Klartext zusammen mit anderen vertraulichen Informationen wie Wi-Fi-Zugangsdaten oder Details über Geräte im lokalen Netzwerk, sagten die Forscher.

Obwohl Der Hersteller hat diese Sicherheitslücke in der neuesten Firmware behoben, 99 Prozent der Foscam-Kameras im Internet laufen immer noch mit älteren Firmware-Versionen und sind anfällig, sagten sie. Es gibt auch eine Möglichkeit, diese Sicherheitsanfälligkeit selbst mit der neuesten installierten Firmware auszunutzen, wenn Sie über Berechtigungsnachweise auf Benutzerebene für die Kamera verfügen.

Eine andere Methode besteht darin, einen Fehler durch eine siteübergreifende Anforderungsfälschung (CSRF) auszunutzen Kamera-Administrator, um einen speziell gestalteten Link zu öffnen. Dies kann verwendet werden, um der Kamera einen sekundären Administrator-Account hinzuzufügen.

Eine dritte Methode besteht darin, einen Brute-Force-Angriff durchzuführen, um das Passwort zu erraten, da die Kamera keinen Schutz hat und die Passwörter auf 12 begrenzt sind "Sobald ein Angreifer Zugang zu einer Kamera erhält, kann er seine Firmware-Version ermitteln, eine Kopie aus dem Internet herunterladen, entpacken, Schadcode hinzufügen und auf das Gerät schreiben.

Die Firmware basiert auf uClinux, einem Linux-basierten Betriebssystem für Embedded-Geräte. Technisch gesehen handelt es sich bei diesen Kameras um Linux-Maschinen, die mit dem Internet verbunden sind. Dies bedeutet, dass sie beliebige Software wie einen Botnet-Client, einen Proxy oder einen Scanner betreiben können, sagten die Forscher.

Da die Kameras auch mit dem lokalen Netzwerk verbunden sind, können sie lokale Geräte identifizieren und aus der Ferne angreifen. Wenn sie nicht aus dem Internet erreichbar wären, sagten sie.

Es gibt einige Einschränkungen, was auf diesen Geräten ausgeführt werden kann, da sie nur 16 MB RAM und eine langsame CPU haben und die meisten Ressourcen bereits von den Standardprozessen genutzt werden. Die Forscher beschrieben jedoch mehrere praktische Angriffe. Eine davon besteht darin, ein verstecktes Backdoor-Administratorkonto zu erstellen, das nicht auf der Webschnittstelle aufgeführt ist.

Ein zweiter Angriff umfasst das Ändern der Firmware, sodass ein Proxyserver auf Port 80 statt auf der Webschnittstelle ausgeführt wird. Dieser Proxy wäre so eingerichtet, dass er sich je nach dem, mit dem er sich verbindet, anders verhält.

Wenn der Administrator beispielsweise über Port 80 auf die Kamera zugreift, zeigt der Proxy die reguläre Webschnittstelle an, da der Administrator seinen Browser nicht konfigurieren lassen würde Verwenden Sie die IP-Adresse der Kamera als Proxy. Ein Angreifer, der seinen Browser auf diese Weise konfiguriert, würde jedoch seine Verbindung über den Proxy tunneln lassen.

Ein drittes Angriffsszenario beinhaltet das Poisoning der Webschnittstelle, um einen remote gehosteten Teil von JavaScript-Code zu laden. Dies würde es dem Angreifer erlauben, den Browser des Kamera-Administrators zu kompromittieren, wenn er die Schnittstelle besucht.

Automatisierte Angriffe

Die Forscher haben ein Open-Source-Tool namens "getmecamtool" veröffentlicht, mit dem die meisten dieser Angriffe automatisiert werden können ausführbare Dateien in die Firmware oder das Patchen der Webschnittstelle.

Das einzige, was das Tool nicht automatisiert, sind die Authentifizierungs-Bypass-Angriffe, so die Forscher. Das Tool benötigt gültige Anmeldeinformationen, die für die Zielkamera verwendet werden, eine Maßnahme, die die Forscher ergriffen haben, um den Missbrauch zu begrenzen.

Die Kameras sind auch anfällig für Denial-of-Service-Angriffe, da sie nur etwa 80 gleichzeitige HTTP verarbeiten können Verbindungen. Solch ein Angriff könnte zum Beispiel verwendet werden, um die Kamera während eines Überfalls zu deaktivieren, sagten die Forscher.

Das Beste ist, dass diese Kameras nicht dem Internet ausgesetzt werden, sagten die Forscher. Wenn dies jedoch erforderlich ist, sollten die Kameras hinter Firewalls oder Intrusion Prevention-Systemen mit strengen Regeln installiert werden.

Der Zugriff darauf sollte nur von einer begrenzten Anzahl vertrauenswürdiger IP-Adressen zugelassen werden und die maximale Anzahl gleichzeitiger Verbindungen sollte zulässig sein gedrosselt, sagten sie. Es ist auch eine gute Idee, die Kameras vom lokalen Netzwerk zu isolieren, um zu verhindern, dass sie zum Angriff auf lokale Geräte missbraucht werden.

Wenn Sie eine hochauflösende IP-Kamera einsetzen möchten, die nicht dafür anfällig ist Zu diesem Hack haben wir Reviews von drei neuen Modellen.