Популярный производитель тепловизоров полгода игнорирует информацию о бэкдорах
12 окт 2017 16:40 #62249
от ICT
Дыры в тепловизорах Эксперт по информационной безопасности компании Zero ScienceLabs Гёко Крстич (Gjoko Krstic),обнаружил, что несколько моделей камер-тепловизоров производства одного излидеров этого рынка FLIR Systems, содержат в своей программной оболочкенесколько жестко запрограммированных комбинаций логинов-паролей, которыеневозможно устранить. Кроме них программные оболочки содержат целый ряд уязвимостей,в том числе, критических. Бэкдоры присутствуют всериях камер FC-Series S (FC-334-NTSC), FC-SeriesID, FC-Series R, PT-Series (PT-334 200562), D-Series, F-Series. Протестированыбыли камеры с версией прошивки 8.0.0.64 и версией сопутствующего ПО 10.0.2.43. В зависимости от модели, доступ к их внутренним настройкампозволяют получить комбинации логинов и паролей вида: root:indigo, root:video, default:video, ftp:video. С одной модельюдостаточно логина «default», пароль не требуется вовсе. http://filearchive.cnews.ru/img/news/2017/10/12/thermalcamera600.jpg"> В прошивке популярных тепловизоров FLIR обнаружились закодированные логины и пароли Отметим, что тепловизоры перечисленных серий весьма активнопродаются в России. По сути они представляют собой обычные IP-камеры свозможностью функционировать в режиме тепловизоров. [b]Бэкдором дело неограничивается[/b] Крстич также указывает, что прошивки камер содержит и другие«баги»: злоумышленники могут получить доступ к стриму камеры без прохожденияавторизации, возможности запуска вредоносного кода с последующим получениемroot-привилегий, возможности инъекции команд на root-уровне со стороныпользователей, которые не обладают администраторскими привилегиями. Кроме того,злоумышленники обладают возможностью получать доступ к некоторым файлам камерыи считывать данные с других локальных ресурсов. [b]Виновник бездействует[/b] Производитель камер пока выпустил исправление только для «бага»,связанного с инъекцией команд. На остальные сообщения эксперта он так и неотреагировал, несмотря на то, что первое обращение было датировано еще мартом 2017г. Отметим, что при этом Крстич опубликовал не толькоинформацию об уязвимостях, но и демонстрационный код для их эксплуатации. [b]Просто забыли[/b] Крстич отметил, что защититься от перечисленных уязвимостейв меру просто: достаточно поместить камеру за надежный фаерволл. «По всей видимости, разработчики прошивок для этих камерпросто забыли убрать жестко запрограммированные логины и пароли, использовавшиесяими в процессе отладки программной оболочки, — считает [b]Роман Гинятуллин[/b], эксперт по информационной безопасности компании SEC Consult Services. — К сожалению, этоочередная демонстрация того, что производители устройств интернета вещей неуделяют должного внимания даже самым базовым вопросам безопасности своихустройств. И это притом, что сегодня защищенность IoT-устройств является одной из самыхострых проблем информационной безопасности в целом».[img]http://filearchive.cnews.ru/img/news/2017/10/12/thermalcamera600.jpg"> В прошивке популярных тепловизоров FLIR обнаружились закодированные логины и пароли Отметим, что тепловизоры перечисленных серий весьма активнопродаются в России. По сути они представляют собой обычные IP-камеры свозможностью функционировать в режиме тепловизоров. Бэкдором дело неограничивается Крстич также указывает, что прошивки камер содержит и другие«баги»: злоумышленники могут получить доступ к стриму камеры без прохожденияавторизации, возможности запуска вредоносного кода с последующим получениемroot-привилегий, возможности инъекции команд на root-уровне со стороныпользователей, которые не обладают администраторскими привилегиями. Кроме того,злоумышленники обладают возможностью получать доступ к некоторым файлам камерыи считывать данные с других локальных ресурсов. Виновник бездействует Производитель камер пока выпустил исправление только для «бага»,связанного с инъекцией команд. На остальные сообщения эксперта он так и неотреагировал, несмотря на то, что первое обращение было датировано еще мартом 2017г. Отметим, что при этом Крстич опубликовал не толькоинформацию об уязвимостях, но и демонстрационный код для их эксплуатации. Просто забыли Крстич отметил, что защититься от перечисленных уязвимостейв меру просто: достаточно поместить камеру за надежный фаерволл. «По всей видимости, разработчики прошивок для этих камерпросто забыли убрать жестко запрограммированные логины и пароли, использовавшиесяими в процессе отладки программной оболочки, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — К сожалению, этоочередная демонстрация того, что производители устройств интернета вещей неуделяют должного внимания даже самым базовым вопросам безопасности своихустройств. И это притом, что сегодня защищенность IoT-устройств является одной из самыхострых проблем информационной безопасности в целом».
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Samsung — самый популярный производитель смартфонов в России | 14.06 | Вторник, 27 декабря 2016 |
Производитель строительных материалов перешел с SAP на 1С за полгода | 13.51 | Среда, 06 сентября 2023 |
В Киргизии предложили обязать провайдеров полгода хранить личную информацию пользователей | 12.89 | Четверг, 14 мая 2020 |
Крупнейший производитель SIM-карт опроверг информацию о массовом взломе | 12.7 | Среда, 25 февраля 2015 |
Федеральные операторы занялись продажей тепловизоров | 9.96 | Среда, 29 апреля 2020 |
Применение тепловизоров на железной дороге Москва-Петербург | 9.85 | Четверг, 26 сентября 2019 |
Половина специалистов по ИБ игнорирует критические уязвимости | 9.48 | Среда, 13 июня 2018 |
YouTube игнорирует требования Роскомнадзора об удалении фейков | 9.37 | Воскресенье, 18 июля 2021 |
Apple игнорирует масштабный брак в самых дорогих макбуках. ФОТО | 9.18 | Среда, 22 апреля 2015 |
Apple игнорирует масштабный брак в самых дорогих макбуках. Разгневаны более 1500 пользователей | 8.89 | Среда, 22 апреля 2015 |