Telecamere IP wireless ampiamente utilizzate aperte al dirottamento su Internet, secondo i ricercatori

Migliaia di telecamere IP wireless collegate a Internet hanno gravi lacune nella sicurezza che consentono agli aggressori di dirottarle e alterare il loro firmware, secondo due ricercatori della società di sicurezza Qualys.

Le fotocamere sono vendute con il marchio Foscam negli Stati Uniti, ma gli stessi dispositivi possono essere trovati in Europa e altrove con marchi diversi, hanno detto Sergey Shekyan e Artem Harutyunyan, che analizzato la sicurezza dei dispositivi e sono in programma di presentare i loro risultati alla conferenza sulla sicurezza di Hack in the Box ad Amsterdam il giovedì.

Tutorials provid Il fornitore della videocamera contiene istruzioni su come rendere i dispositivi accessibili da Internet impostando le regole di port forwarding nei router. Per questo motivo, molti di questi dispositivi sono esposti a Internet e possono essere attaccati in remoto, hanno detto i ricercatori.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Trovare le telecamere è facile e può essere fatto in diversi modi. Un metodo prevede l'uso del motore di ricerca Shodan per cercare un'intestazione HTTP specifica per le interfacce utente basate su Web delle telecamere. Tale query restituirà più di 100.000 dispositivi, hanno detto i ricercatori.

I venditori che vendono queste telecamere li hanno anche configurati per utilizzare i propri servizi DNS dinamici. Ad esempio, alle telecamere Foscam viene assegnato un nome host del tipo [due lettere e quattro cifre].myfoscam.org. Analizzando l'intero spazio dei nomi *.myfoscam.org, un utente malintenzionato potrebbe identificare la maggior parte delle telecamere Foscam connesse a Internet, hanno detto i ricercatori.

Circa due telecamere su 10 consentono agli utenti di accedere con il nome utente "admin" predefinito e nessuna password, hanno detto i ricercatori. Per il resto che dispongono di password configurate dall'utente, ci sono altri modi per intrufolarsi.

Metodi di attacco

Un metodo è quello di sfruttare una vulnerabilità scoperta di recente nell'interfaccia Web della telecamera che consente agli aggressori remoti di ottenere uno snapshot della memoria del dispositivo.

Questo dump della memoria conterrà il nome utente e la password dell'amministratore in testo chiaro insieme ad altre informazioni sensibili come le credenziali Wi-Fi o dettagli sui dispositivi sulla rete locale, hanno detto i ricercatori.

Anche se il fornitore ha corretto questa vulnerabilità nel firmware più recente, il 99% delle fotocamere Foscam su Internet ha ancora versioni firmware precedenti e sono vulnerabili, hanno detto. C'è anche un modo per sfruttare questa vulnerabilità anche con il firmware più recente installato se si dispone di credenziali a livello di operatore per la telecamera.

Un altro metodo consiste nello sfruttare un difetto di CSRF (cross-site request forgery) nell'interfaccia ingannando il amministratore della videocamera per aprire un collegamento appositamente predisposto. Questo può essere usato per aggiungere un account amministratore secondario alla telecamera.

Un terzo metodo consiste nell'eseguire un attacco di forza bruta per indovinare la password, perché la telecamera non ha protezione contro questo e le password sono limitate a 12 personaggi, hanno detto i ricercatori.

Una volta che un utente malintenzionato ottiene l'accesso a una telecamera, può determinare la sua versione del firmware, scaricare una copia da Internet, decomprimerla, aggiungere un codice falso e salvarla sul dispositivo.

Il firmware è basato su uClinux, un sistema operativo basato su Linux per dispositivi embedded, quindi tecnicamente queste telecamere sono macchine Linux connesse a Internet. Ciò significa che possono eseguire software arbitrari come un client botnet, un proxy o uno scanner, hanno detto i ricercatori.

Poiché le telecamere sono anche collegate alla rete locale, possono essere utilizzate per identificare e attaccare da remoto dispositivi locali che non sarebbero in grado di altrimenti sarebbero accessibili da Internet, hanno detto.

Ci sono alcune limitazioni a ciò che può essere eseguito su questi dispositivi poiché hanno solo 16 MB di RAM e una CPU lenta e la maggior parte delle risorse sono già utilizzate dai suoi processi predefiniti. Tuttavia, i ricercatori hanno descritto diversi attacchi pratici. Uno di questi comporta la creazione di un account di amministratore backdoor nascosto che non è elencato nell'interfaccia Web.

Un secondo attacco comporta la modifica del firmware per l'esecuzione di un server proxy sulla porta 80 anziché nell'interfaccia Web. Questo proxy sarebbe configurato per comportarsi diversamente a seconda di chi si connette ad esso.

Ad esempio, se l'amministratore accede alla telecamera tramite la porta 80, il proxy visualizzerà l'interfaccia Web normale perché l'amministratore non avrebbe il suo browser configurato per utilizzare l'indirizzo IP della telecamera come proxy. Tuttavia, un utente malintenzionato che configura il proprio browser in questo modo avrebbe il tunneling della connessione attraverso il proxy.

Un terzo scenario di attacco comporta l'avvelenamento dell'interfaccia Web per caricare un codice JavaScript ospitato in remoto. Ciò consentirebbe all'utente malintenzionato di compromettere il browser dell'amministratore della telecamera quando visita l'interfaccia.

Attacchi automatizzati

I ricercatori hanno rilasciato uno strumento open source chiamato "getmecamtool" che può essere utilizzato per automatizzare la maggior parte di questi attacchi, inclusa l'iniezione file eseguibili nel firmware o patching dell'interfaccia Web.

L'unica cosa che lo strumento non automatizza sono gli attacchi di bypass di autenticazione, hanno detto i ricercatori. Lo strumento richiede credenziali di accesso valide per la telecamera mirata, una misura che i ricercatori hanno adottato per limitare l'abuso.

Le telecamere sono anche suscettibili agli attacchi denial-of-service perché possono gestire solo circa 80 HTTP concomitanti connessioni. Un tale attacco potrebbe essere utilizzato, ad esempio, per disabilitare la telecamera durante l'esecuzione di una rapina, hanno detto i ricercatori.

La cosa migliore è che queste telecamere non siano esposte a Internet, hanno detto i ricercatori. Tuttavia, se necessario, le telecamere dovrebbero essere installate dietro firewall o sistemi di prevenzione delle intrusioni con regole severe.

L'accesso ad esse dovrebbe essere consentito solo da un numero limitato di indirizzi IP attendibili e il numero massimo di connessioni simultanee dovrebbe essere strozzati, dissero. Anche isolare le telecamere dalla rete locale è una buona idea, al fine di impedire che vengano utilizzate abusivamente per attaccare i dispositivi locali.

Se sei interessato a implementare una telecamera IP ad alta definizione che non è nota per essere suscettibile a questo hack, abbiamo recensioni di tre nuovi modelli.