Хакер #305. Многошаговые SQL-инъекции
Исследователи компании CyberReason предупреждают, что проблемы интернета вещей не ограничиваются одной лишь малварью Mirai. Так, специалисты рассказали о своем эксперименте: они приобрели на Amazon и eBay более тридцати недорогих IP-камер разных производителей и пришли к выводу, что практически все они уязвимы перед двумя 0-day уязвимостями, что позволяет злоумышленникам использовать девайсы для атак или попросту шпионить за их владельцами.
Пока исследователи не раскрывают технические подробности проблемы, а также умалчивают о названиях уязвимых моделей камер. Дело в том, что по их словам, эксплуатация уязвимостей очень проста и может причинить вред сотням тысяч пользователей, так что публиковать эксплоиты в открытом доступе – не самая лучшая идея.
Специалисты пишут, что аппаратная составляющая различных IP-камер отличается достаточно сильно, но вот софт практически всегда одинаков. Это навело исследователей на мысль, что софтом занимается компания, которая осуществляет сборку устройств, а не сами вендоры. Как бы то ни было, CyberReason уведомили о проблемах и вендоров и компанию-сборщика, но какого-либо ответа от них не ждут.
«Некоторые компании, особенно те, которые штампуют дешевые IoT-продукты, совсем не заинтересованы в выпуске патчей, а порой просто не могут этого сделать. Их задача – поставить устройство на рынок как можно быстрее, а о безопасности они задумываются уже потом», — объясняют специалисты.
Большинство изученных камер работают под управлением старых версий Linux, к примеру, 2.6.26. Небольшое число устройств оснащено более новыми (3.0 и выше) версиями. Но, невзирая на этот факт, все камеры используют давно устаревшее и уязвимое ПО, особенно программы, при помощи которых устройства выходят в интернет. К примеру, веб-сервер, обнаруженный на многих девайсах, датирован примерно 2002 годом.
Именно в коде этого веб-сервера исследователи и обнаружили две 0-day уязвимости, которые позволяют полностью скомпрометировать устройство. Первая проблема: обход аутентификации и утечка информации, с помощью которых можно запросить и просмотреть любой файл из директории веб-сервера. Один из файлов содержит такую критическую информацию, как пароль для доступа к камере. Вторая проблема связана с уязвимостью, допускающей инъекцию команд (command injection). Это позволяет выполнить любой код от имени веб-сервера, который обладает root-правами. Видео ниже демонстрирует эксплуатацию обеих уязвимостей на практике.
Исследователи говорят, что для большинства изученных ими устройств попросту невозможно выпустить обновления, так как узнать их производителей не представляет возможным. Кроме того, такие камеры вообще «не умеют» получать обновления, так что доставка исправлений не представляется возможной. Один из специалистов, Амит Серпер (Amit Serper) объясняет:
«Ряд камер, которые я заказал, пришли в простых белых коробках, без имени или логотипа производителя, так что совершенно невозможно установить, кого информировать [о проблемах]. Сами камеры тоже не помогли понять, кем они сделаны: никаких брендов на них нет.
Единственный способ удостовериться, что камера более не уязвима перед этими эксплоитами – выбросить ее. Серьезно. Это не идеальное решение, но в противном случае единственным способом доставки обновлений является написанный мной скрипт, с помощью которого я определял уязвимые камеры. Однако мой скрипт содержит коды эксплоитов, а значит, атакующие могут использовать его в своих целях, поэтому я не хочу его публиковать».
По тем же причинам исследователи отказались от публикации названий уязвимых моделей и имен компаний-производителей, ведь зная, где нужно искать, злоумышленники наверняка вскоре обнаружат проблемы. Вместо этого исследователи запустили специальный сайт, с помощью которого владельцы IP-камер могут сами проверить свои устройства на уязвимости. Определить это можно по ряду признаков. Так, один из паролей по умолчанию, который используют уязвимые камеры — это «888888». Кроме того, можно проверить серийный номер устройства, если он начинается с одной из нижеперечисленных последовательностей символов, девайс, вероятнее всего, уязвим.
- MEYE
- MCI
- VST*
- XXC
- 005*
- J MTE
- WEV
- PIPCAM
- SURE
- NIP
- EST
- VIEW
- PSD