Hơn 9 triệu máy ảnh và đầu ghi hình dễ bị tấn công

05:59 PM 11/10/2018 In bài viết

Kết quả hình ảnh cho Over nine million cameras and DVRs open to APTs, botnet herders, and voyeurs

Tất cả các thiết bị dễ bị tổn thương đã được sản xuất bởi Công ty TNHH Công nghệ Xiongmai Hàng Châu (Xiongmai sau đây), một công ty Trung Quốc có trụ sở tại thành phố Hàng Châu.

Nhưng người dùng sẽ không thể nói rằng họ đang sử dụng thiết bị có thể tấn công vì công ty không dán tên công ty trên sản phẩm mà sử dụng logo của công ty khác.

Các nhà nghiên cứu bảo mật từ SEC Consult của EU cho biết họ đã xác định được hơn 100 công ty mua các thiết bị Xiongmai sau đó sử dụng thương hiệu của mình.

Tất cả các thiết bị này đều dễ bị tấn công dễ dàng. Nguồn của tất cả các lỗ hổng là một tính năng được tìm thấy trong tất cả các thiết bị có tên là "XMEye P2P Cloud".

Đám mây P2P XMEye hoạt động bằng cách tạo một đường hầm giữa thiết bị của khách hàng và tài khoản đám mây XMEye. Chủ sở hữu thiết bị có thể truy cập tài khoản này qua trình duyệt của họ hoặc thông qua ứng dụng dành cho thiết bị di động để xem nguồn cấp dữ liệu video của thiết bị trong thời gian thực.

Các nhà nghiên cứu SEC Consult cho biết các tài khoản đám mây XMEye này chưa được bảo vệ thỏa đáng. Để bắt đầu, kẻ tấn công có thể đoán ID tài khoản vì chúng được dựa trên địa chỉ vật lý tuần tự của các thiết bị (MAC).

Thứ hai, tất cả các tài khoản XMEye mới sử dụng tên người dùng là là "quản trị" và mặc định là không có mật khẩu.

Thứ ba, người dùng không được nhắc thay đổi mật khẩu mặc định này trong quá trình cài đặt.

Thứ tư, ngay cả khi người dùng đã thay đổi mật khẩu tài khoản quản trị XMEye, cũng có một tài khoản ẩn thứ hai với tên người dùng và mật khẩu mặc định.

xiongmai-login.png

Thứ năm, quyền truy cập vào tài khoản này cho phép kẻ tấn công kích hoạt cập nhật chương trình cơ sở. Các nhà nghiên cứu cho biết các bản cập nhật firmware của thiết bị Xiongmai không được thực hiện, và kẻ tấn công có thể dễ dàng mạo danh đám mây XMEye và cung cấp một phiên bản phần mềm độc hại chứa phần mềm độc hại.

Các nhà nghiên cứu cho rằng các lỗ hổng mà họ tìm thấy có thể dễ dàng sử dụng bởi những người đi du lịch để tiếp quản nguồn cấp dữ liệu máy ảnh và xem hình ảnh nạn nhân trong nhà của họ. Trong một số trường hợp, một số máy ảnh có hệ thống liên lạc âm thanh hai chiều, vì vậy thậm chí có thể kẻ tấn công cũng có thể tương tác với nạn nhân.

xiongmai-error-page.jpg

Hơn nữa, tất cả các thiết bị này có thể bị tấn công bởi các nhóm gián điệp không gian mạng và được sử dụng như các điểm vào bên trong mạng của các tổ chức được nhắm mục tiêu, hoặc chuyển tiếp lưu lượng như một phần của kỹ thuật được gọi là UPnProxy. Các nhóm gián điệp trên mạng, còn được gọi là các mối đe dọa lâu dài (APT) đã ngày càng tận dụng các bộ định tuyến cho các cuộc tấn công của họ, với botnet VPNFilter gần đây nhất, được thành lập bởi nhóm APT28 của Nga.

Các thiết bị Xiongmai đã từng bị tấn công trong quá khứ bởi các botnet IoT, và đặc biệt là các botnet được xây dựng với phần mềm độc hại Mirai. Ví dụ, một nửa số thiết bị là một phần của cuộc tấn công DDoS dựa trên Mirai khổng lồ vào nhà cung cấp DNS được quản lý Dyn, chiếm khoảng một phần tư Internet, là các thiết bị Xiongmai.

Vào thời điểm đó, Xiongmai bị chỉ trích nặng nề và hứa sẽ thu hồi tất cả các thiết bị dễ bị tổn thương.

Nhưng SEC Consult tuyên bố trong một báo cáo rằng công ty Trung Quốc đã không đầu tư vào an ninh kể từ khi vá các lỗ hổng khai thác bởi phần mềm độc hại Mirai vào cuối năm 2016 và an ninh không phải là ưu tiên hàng đầu của họ.

Sau đó có ít nhất 04 lỗ hổng được phát hiện nhưng không được sửa chữa, một số lỗ hổng có tuổi thọ ít nhất 1 năm.

Dựa trên các bản quét được thực hiện bởi các nhà nghiên cứu, có ít nhất chín triệu thiết bị của Xiongmai kết nối Internet.

Vì không có thiết bị nào có tên hoặc logo Xiongmai, chủ sở hữu thiết bị khó có thể xác định họ có sử dụng một trong những thiết bị dễ bị tấn công này không.

SEC Consult cho biết cách dễ nhất để xác định thiết bị được sản xuất bởi Xiongmai (và sau này được đổi tên) là trang đăng nhập bảng điều khiển của thiết bị.

Trong trường hợp nhà cung cấp đã mua thiết bị Xiongmai sử dụng thiết kế khác cho trang đăng nhập, người dùng có thể truy cập vào trang lỗi của thiết bị tại http: // [device_IP] /err.htm để tìm manh mối thứ hai. Nếu trang lỗi trông giống như hình bên dưới, thì đó là một thiết bị Xiongmai.

Hơn nữa, người dùng có thể tìm thấy manh mối cuối cùng trong mô tả sản phẩm của họ trong sách hướng dẫn in của thiết bị hoặc trên danh sách của Amazon, HomeDepot hoặc Walmart. Nếu mô tả sản phẩm đề cập đến bất cứ điều gì về "XMEye", thì bất chấp logo ở mặt trước của thiết bị, thiết bị được tạo bởi Xiongmai.

Hòa Đoàn