A Bitdefender nevű cyber-biztonsági és antivírus vállalat biztonsági rést talált két Shenzen Neo Electronics gyártmányú kínai kamerában. A két modell iDoorbell és NIP-22 esetében még a hitelesítési eljárás előtt, puffer túlcsordulással összefüggő sebezhetőséget találtak. Egy német cég amely ugyanezt a firmware-t alkalmazza, ugyanúgy sebezhetőnek találtatott.
Ez a típusú C vagy C++ programozásból eredő, véletlen vagy szándékos hiba, okozhatja a rendszer összeomlását, vagy rosszabb esetben egy belépési pontot jelenthet egy cyber támadás esetére. https://www.veracode.com/security/buffer-overflow
Exportált sebezhetőségek Kínából
A Bitdefender gyanítja, hogy az összes, említett cég által gyártott kamera ugyanazt a szoftvert használja, következésképpen ugyanúgy sebezhető . A cyber biztonság kérdése bizonyos kínai kameragyártók esetében gyakran témája a biztonságtechnikai szakértők vitájának. Tekintettel arra, hogy ezek a kamerák az alacsony árkategóriába esnek, sebezhetőségüket nagy számban exportálják szerte a világon.
Ami a Bitdefender felfedezését különösen érdekessé teszi az, hogy tapasztalatai szerint, az a firmware amelyet ezek a kamerák használnak megtalálható más gyártók termékeiben is, hasonló módon gyengítve azokat.
Ugyanaz a firmware más gyártóknál is
Alex Balan a Bitdefender Vezető Biztonságtechnikai Kutatója elmondta, hogy egy német cég amely ugyanezt firmware-t alkalmazza, ugyanúgy sebezhetőnek találtatott :
„Az a tény hogy az említett kínai kamerákba ágyazott firmware-t más gyártók is beépítik, magyarázza a sikeres támadások nagy volumenét és a védelmi hiba hasonlóságát más gyártók esetében is. Így pl. azonosítottunk egy német céget, amelynek eltérő tervek, formai jegyek és különböző felhasználói interfész alapján gyártott kamerái ugyanazzal a firmware-rel és védelmi hibával rendelkeztek, mint kínai társaik” jelentette ki Balan.
Balan nem kívánta megnevezni az érintett német céget, ahol időközben a hibát már ki is javították, de rámutatott, hogy van még számos gyártó akik ugyanezt a firmwaret használják, szétterjesztve ezt a típusú biztonsági rést szerte a szakmában.
A két kamerában felfedezett védelmi hiba bizonyos feltételek mellett lehetővé teszi távoli kódok végrehajtását írja a riport. Gyaníthatóan nem véletlenül hasonló fajtájú hibák szintén megtalálhatók hálózati csomópontokban ( útválasztókban ) amelyek érzékelőket vagy alarm jelzéseket fogadnak illetve továbbítanak.
Több mint 150 ezer elért egyedi eszköz?
Mindkét kamera iDoorbell és NIP-22 a router nyitott UPnP portját használja így azok elérhetők a külső világ számára. A Bitdefender számításai szerint az elérhető egyedi eszközök valós száma valahol 175.000 körül jár.
Megkérdeztük volt-e valami különleges oka a Shenzen Neo Electronics termékek kiválasztásának, de Balan szerint a kínai cégre az IP sebezhetőség témájában véletlenszerűen esett a választás. Elmondta, hogy a világ összes tájékáról kapnak felkéréseket vizsgálatra és tapasztalataik alapján a kínai cégek termékei semmivel sem kevésbé biztonságosak, mint más országok technikái.
Céljuk az IoT eszközök biztonságának növelése
„A vizsgálatokat azért csináljuk, hogy megértsük azt, hogy az IoT eszközök hogyan veszélyeztethetők és megpróbáljuk számszerűsíteni a tömeges fertőződés folyamatát. Mi nem próbálunk egy bizonyos vállalatra koncentrálni, csak megérteni a fenyegetettséget és azokat a dolgokat, amelyek széles körben tudnak hatást gyakorolni” mondta Balan.
Bár Balan az IoT termék gyártóknak egy alapos kiértékelést javasol mielőtt megjelennek a piacon tudja, hogy a hibák hosszútávon elkerülhetetlenek . Amit egy eladó a maga részéről tenni tud, az egy robusztus update rendszer kiépítése. Ha van olyan rendszer, amely biztosítja, hogy amint a gyártó tudomást szerez a hibáról ki tud bocsátani egy a problémát lényegében megoldó frissítést, a félelmek bizonyos mértékig csökkenthetők.
Forrás: https://www.asmag.com/showpost/23412.aspx
Fordította: Ecsedi Ákos
Kapcsolódó cikkek:
Az IP árnyoldalai….A cyber biztonság fokozása a video megfigyelésnél
Cyber attack az Egyesült Királyságban
