26.10.2018
Критическая уязвимость систем видеонаблюдения от китайской компании Xiongmai заставила всех узнать о существовании этого крупнейшего, но совершенно незаметного производителя. Компания продаёт свою продукцию только через OEM, и теперь многие пользователи постепенно узнают, что, оказывается, являются её заказчиками.
Общее число брендов, под которыми продаются изделия компании с полным именем Hangzhou Xiongmai Technology Co., — более 100. Возможно, это далеко не всё. Компания, производящая системы видеонаблюдения в огромных количествах, была абсолютно незаметна. Впервые она появилась в поле зрения специалистов два года назад из-за того, что на её продукции распространялся ботнет Mirai.
И вот теперь компания SEC Consult обнаружила критическую уязвимость продуктов Xiongmai, связанную с её облачным сервисом XMEye. Его использование разрешено во всех продуктах Xiongmai, причём по умолчанию. Доступ к удалённым камерам через этот облачный сервис позволяет обходить межсетевые экраны.
Специалисты разбрались с тем, как каждому устройству Xiongmai приписывается идентификационный номер (ID), через который пользователь связывается с этим устройством. Оказалось, что он, несмотря на свою сложность (например, 68ab8124db83c8db), не является случайным, а строится по MAC-адресу, который, в свою очередь, содержит идентификаторы вендора и интерфейса. За счёт этого ID можно частично вычислить, а затем достроить подбором.
Исследователи проверили это, просканировав облачную инфраструктуру Xiongmai, и нашли 9 млн устройств с вычисляемыми ID. Несмотря на то, что они посылали по 33 тысячи запросов с одного IP-адреса, сканируемое облако не блокировало их — такой защиты в нём нет.
Далее исследователи определили, что доступ ко многим устройствам производится через логин admin с пустой строкой в качестве пароля. Такой «админ» может просматривать видеопоток, менять настройки и даже обновлять прошивки. Любой желающий может также использовать логин default («по умолчанию») с паролем tluafed (то же слово наоборот). Такой пользователь получает, как минимум, доступ к видеопотоку.
Получив доступ к устройству Xiongmai, злоумышленник может через обновление прошивки внедрить в него вредоносный код. В итоге он сможет смотреть видеоизображение и даже вступать со своей жертвой в двухстороннюю аудиосвязь. Другая возможность — проникнуть в локальную сеть организации и далее — в другие системы. Наконец, умелый хакер может организовать ботнет из устройств Xiongmai.
RSS
Twitter
Telegram
LinkedIn
Facebook
Google+
ВКонтакте
YouTube
Одноклассники
LiveJournal