Các nhà nghiên cứu ESET nhấn mạnh một loạt các lỗ hổng bảo mật trong một thiết bị nhằm làm cho nhà cửa và văn phòng an toàn hơn

Nhiều người đang tìm cách cải thiện an ninh cho ngôi nhà hoặc văn phòng của họ bằng cách cài đặt các máy ảnh thông minh trực tuyến. Với kết nối trực tiếp với internet, luồng giám sát của họ chỉ cần một vài cú nhấp chuột và có sẵn bất cứ lúc nào. Tuy nhiên, loại tiện lợi này có thể nhanh chóng trở nên chua chát nếu máy ảnh bị lỗ hổng bảo mật mở ra cánh cửa cho các diễn viên trái phép. Như được chỉ ra bởi nghiên cứu nhà thông minh ESET, đây là trường hợp với máy ảnh đám mây D-Link DCS-2132L, cho phép kẻ tấn công không chỉ chặn và xem video đã ghi mà còn thao tác với phần sụn của thiết bị.

Vấn đề nghiêm trọng nhất với máy ảnh đám mây D-Link DCS-2132L là việc truyền không được mã hóa của luồng video. Nó chạy không được mã hóa qua cả hai kết nối – giữa máy ảnh và đám mây và giữa đám mây và ứng dụng trình xem phía khách hàng – cung cấp mảnh đất màu mỡ cho các cuộc tấn công giữa người (MitM) và cho phép kẻ xâm nhập theo dõi các luồng video của nạn nhân

Hình 1 – Sơ đồ mô tả việc truyền dữ liệu dễ bị tổn thương và các vectơ tấn công MitM có thể

Ứng dụng trình xem và máy ảnh giao tiếp qua máy chủ proxy trên cổng 2048, sử dụng đường hầm TCP dựa trên giao thức đường hầm D-Link tùy chỉnh. Thật không may, chỉ một phần lưu lượng chạy qua các đường hầm này được mã hóa, để lại một số nội dung nhạy cảm nhất – chẳng hạn như yêu cầu địa chỉ IP và MAC của máy ảnh, thông tin phiên bản, luồng video và âm thanh và thông tin camera mở rộng – không có mã hóa.

Lỗ hổng chịu trách nhiệm cho vấn đề này và một số vấn đề được mô tả sau trong blogpost này có thể được truy nguyên từ một điều kiện trong tệp request.c (một phần của nguồn máy chủ web boa nguồn mở tùy chỉnh D-Link mã) xử lý các yêu cầu HTTP đến máy ảnh. Tất cả các yêu cầu HTTP từ 127.0.0.1 được nâng lên cấp quản trị viên, cấp cho kẻ tấn công tiềm năng toàn quyền truy cập vào thiết bị.

Hình 2 – Điều kiện trong mã nguồn máy chủ web boa. Tất cả các yêu cầu đến được nâng lên thành quản trị viên

Chặn các luồng video và âm thanh

Kẻ tấn công MitM chặn lưu lượng mạng giữa ứng dụng trình xem và đám mây hoặc giữa đám mây và máy ảnh, có thể sử dụng luồng dữ liệu của kết nối TCP trên cổng máy chủ (đám mây) 2048 để xem các yêu cầu HTTP cho video và gói âm thanh. Những thứ này sau đó có thể được xây dựng lại và phát lại bởi kẻ tấn công, bất cứ lúc nào, để có được luồng âm thanh hoặc video hiện tại từ máy ảnh đó. Trong các thử nghiệm của chúng tôi, chúng tôi đã thu được nội dung video được phát trực tuyến ở hai định dạng thô, cụ thể là M-JPEG và H.264.

Để xây dựng lại luồng video, người ta cần thực hiện một vài bước (có thể dễ dàng tự động thông qua một chương trình đơn giản hoặc tập lệnh):

  1. Xác định lưu lượng truy cập đại diện cho các luồng video. Lưu lượng này bao gồm nhiều khối dữ liệu, mỗi khối có một tiêu đề cụ thể và độ dài được xác định.
  2. Tách các phần dữ liệu khỏi các tiêu đề.
  3. Cuối cùng, các phần của video được hợp nhất thành một tệp.

Phát các tệp video thu được theo cách này có thể hơi khó khăn vì chúng ở định dạng truyền phát thô thay vì định dạng tệp chứa. Tuy nhiên, một số trình phát phương tiện có thể xử lý các định dạng thô này nếu chạy bằng các công tắc dòng lệnh thích hợp (ví dụ: MPlayer có thể xử lý các tệp M-JPEG và VLC có thể phát các tệp H.264).

Plug-in thiếu sót

Một vấn đề nghiêm trọng khác được tìm thấy trong máy ảnh đã bị ẩn trong các dịch vụ trình cắm web của mydlink. Đây là một trong những hình thức của ứng dụng trình xem có sẵn cho người dùng, những ứng dụng khác là ứng dụng di động không thuộc nghiên cứu của chúng tôi.

Trình cắm trình duyệt web quản lý việc tạo đường hầm TCP và phát lại video trực tiếp trong trình duyệt của khách hàng nhưng cũng chịu trách nhiệm chuyển tiếp các yêu cầu cho luồng dữ liệu video và âm thanh qua đường hầm, nghe trên cổng được tạo động trên localhost.

Đường hầm được cung cấp cho toàn bộ hệ điều hành, do đó, bất kỳ ứng dụng hoặc người dùng nào trên máy tính của khách hàng có thể chỉ cần truy cập vào giao diện web của máy ảnh bằng một yêu cầu đơn giản (chỉ trong khi truyền phát video trực tiếp) tới hxxp: //127.0.0.1 : RANDOM_PORT /.

Không cần ủy quyền vì các yêu cầu HTTP đối với máy chủ web của máy ảnh tự động được nâng lên cấp quản trị viên khi truy cập nó từ IP localhost (ứng dụng trình xem local localhost được chuyển sang camera localhost).

Lỗ hổng này cũng cho phép bất kỳ kẻ tấn công nào thay thế phần sụn hợp pháp bằng phiên bản được dựng sẵn hoặc có cửa sau.

Video dưới đây đưa ra một minh chứng hữu ích về vấn đề bảo mật hiện đã được sửa với trình cắm:

Thay thế phần sụn bất hợp pháp

Tại thời điểm viết bài, các sự cố với dịch vụ mydlink của Plug-in đã được nhà sản xuất khắc phục thành công.

Tuy nhiên, việc thay thế phần sụn độc hại vẫn có thể xảy ra thông qua các lỗ hổng trong giao thức đường hầm D-Link tùy chỉnh được mô tả trước đó trong blogpost này. Để đạt được điều này, kẻ tấn công cần phải sửa đổi lưu lượng trong đường hầm bằng cách thay thế yêu cầu GET luồng video bằng một yêu cầu POST cụ thể tải lên và chạy chương trình cơ sở không có bản quyền Cập nhật.

Chúng ta cần nhấn mạnh vào thời điểm này rằng việc thực hiện một cuộc tấn công như vậy là không tầm thường, vì nó sẽ phải tuân theo tất cả các quy tắc của giao thức đường hầm, chia tệp phần sụn thành các khối với các tiêu đề cụ thể và có độ dài tối đa nhất định.

Tuy nhiên, tính xác thực của nhị phân phần sụn không được xác minh trong quá trình cập nhật. Do đó, một chương trình cơ sở tùy chỉnh với một số tính năng bổ sung ẩn của Wap như các công cụ khai thác tiền điện tử, backtime, phần mềm gián điệp, botnet hoặc trojan khác có thể được tải lên thiết bị. Hơn nữa, việc không có bất kỳ kiểm tra xác thực nào có nghĩa là một diễn viên độc hại có thể cố tình phá hoại thiết bị.

UPnP phơi cổng HTTP ra internet

D-Link DCS-2132L cũng có một vài vấn đề nhỏ khác, nhưng vẫn còn liên quan. Nó có thể thiết lập chuyển tiếp cổng tới chính nó trên một bộ định tuyến gia đình, bằng cách sử dụng Universal Plug and Play (UPnP). Điều này làm lộ giao diện HTTP của nó trên cổng 80 sang internet và có thể xảy ra mà không có sự đồng ý của người dùng, ngay cả với bản trình bày Bật Bật UPnP, hoặc Bật Bật cổng UPnP trong các cài đặt không được chọn.

Tại sao máy ảnh sử dụng cài đặt nguy hiểm như vậy không rõ ràng. Hiện tại có gần 1.600 máy ảnh D-Link DCS-2132L với cổng 80 bị lộ có thể được tìm thấy qua Shodan, hầu hết trong số họ ở Hoa Kỳ, Nga và Úc.

Hình 3 – Kết quả tìm kiếm Shodan của DCS-2132L trên cổng 80

Cách đơn giản nhất để giảm thiểu rủi ro hiện tại là vô hiệu hóa UPnP trên bộ định tuyến người dùng.

Đã sửa lỗi plugin, các vấn đề khác vẫn tồn tại

.

D-Link đã trả lời ngay lập tức, thông báo cho ESET rằng các báo cáo về lỗ hổng đã được chuyển đến các nhóm nghiên cứu và phát triển của họ, hứa hẹn sẽ tiếp tục theo dõi.

Kể từ đó, một số lỗ hổng bảo mật đã được giảm thiểu – theo các thử nghiệm của chúng tôi, các dịch vụ mydlink của hệ thống bổ trợ hiện tại đã được bảo mật đúng cách – mặc dù các vấn đề khác vẫn tồn tại. Tại thời điểm viết phiên bản phần sụn mới nhất có sẵn để tải xuống là từ tháng 11 năm 2016 và không giải quyết các lỗ hổng cho phép thay thế phần mềm độc hại của máy ảnh, cũng như chặn các luồng âm thanh và video.

Máy ảnh D-Link DCS-2132L vẫn có sẵn trên thị trường. Chủ sở hữu hiện tại của thiết bị nên kiểm tra xem cổng 80 có tiếp xúc với internet công cộng hay không và xem xét lại việc sử dụng truy cập từ xa nếu camera đang giám sát các khu vực rất nhạy cảm của gia đình hoặc công ty của họ.

Tác giả: Các nhà nghiên cứu phần mềm độc hại ESET Milan Fr ánik và Miloš ermák





nguon http://feedproxy.google.com/~r/eset/blog/~3/ystneAwiDmQ/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây