Исследователи компании Pen Test Partners давно наблюдают за интернетом вещей в целом и DVR-устройствами в частности, изучать эту область они начали еще в феврале 2016 года, задолго до первых атак Mirai.
Специалисты пишут, что в последние несколько месяцев они занимались изучением аппаратной и софтверной составляющей устройств более 30 производителей DVR-систем. В итоге им удалось выявить уязвимости, которые еще не использует малварь Mirai и ее многочисленные подражатели, причем эти проблемы распространяются более чем на миллион устройств, если верить статистике Shodan.
По данным Pen Test Partners, корнем проблемы является китайский производитель XiongMai, предоставляющий на рынок white label решения. Фактически из-за этого многие уязвимые устройства являются в буквальном безымянными, а также ничего конкретного нельзя сказать о версии уязвимой прошивки, – девайсы попросту не сообщают информацию о версии ПО.
Софт XiongMai, установленный на множестве устройств, содержит целый ряд уязвимостей, включая опасный RCE-баг, позволяющий спровоцировать неавторизованное переполнение буфера в веб-сервисе (порт 80). Уязвимость не только допускает удаленное выполнение произвольного кода, но и обладает потенциалом червя, то есть, эксплуатируя данный баг, угроза может размножаться самостоятельно.
Проблема осложняется тем, что в DVR-системах 80 порт, как правило, открыт для входящих соединений, так как через него можно получить удаленный доступ к видеопотоку. Исследователи предупреждают, что хотя после прошлогодних атак Telnet все же закрыт у многих устройств, 80 порт продолжает работать, и ботнет из таких уязвимых DVR-девайсов может получиться крупнее и мощнее, чем ботнеты на базе Mirai.
Хуже того, по данным аналитиков, продукцию XiongMai используют более различных 50 брендов, но логистические цепочки столь запутаны, что большинство вендоров, скорее всего, даже не подозревают о том, что пользуются решениями XiongMai.
Фото: Depositphotos