Secondo i ricercatori, le telecamere IP e i DVR rinominati venduti da oltre 100 aziende possono essere facilmente hackerati.
Milioni di telecamere di sicurezza, DVR e NVR contengono vulnerabilità che possono consentire a un utente malintenzionato remoto di impossessarsi dei dispositivi con poco sforzo, hanno rivelato oggi i ricercatori di sicurezza.
Tutti i dispositivi vulnerabili sono stati prodotti da Hangzhou Xiongmai Technology Co., Ltd. (Xiongmai di seguito), società cinese con sede nella città di Hangzhou.
Ma gli utenti finali non saranno in grado di capire che stanno utilizzando un dispositivo hackerabile perché l'azienda non ne vende alcuno prodotti con il proprio nome sopra, ma spedisce tutte le apparecchiature come prodotti con etichetta bianca su cui altre aziende inseriscono il proprio logo in alto.
I ricercatori di sicurezza della SEC Consult con sede nell'UE affermano di aver identificato oltre 100 aziende che acquistano e rinominano i dispositivi Xiongmai come propri.
https://www.cnet.com/news/california-governor-signs-countrys-first-iot-security-law/
CNET: Il governatore della California firma la prima legge sulla sicurezza IoT del paese
Tutti questi dispositivi sono vulnerabili a facili attacchi hacker, dicono i ricercatori. La fonte di tutte le vulnerabilità è una funzionalità presente in tutti i dispositivi denominata "XMEye P2P Cloud".
XMEye P2P Cloud funziona creando un tunnel tra il dispositivo del cliente e un account cloud XMEye. I proprietari del dispositivo possono accedere a questo account tramite il proprio browser o tramite un'app mobile per visualizzare i feed video del dispositivo in tempo reale.
I ricercatori della SEC Consult affermano che questi account cloud XMEye non sono stati sufficientemente protetti. Per cominciare, un utente malintenzionato può indovinare gli ID account perché sono basati sugli indirizzi fisici sequenziali (MAC) dei dispositivi.
In secondo luogo, tutti i nuovi account XMEye utilizzano un nome utente amministratore predefinito "admin" senza password.
In terzo luogo, agli utenti non viene richiesto di modificare la password predefinita durante il processo di configurazione dell'account.
In quarto luogo, anche se l'utente ha modificato la password dell'account amministratore di XMEye, esiste anche un secondo account nascosto con la combinazione nome utente e password default/tluafed.
In quinto luogo, l'accesso a questo account consente a un utente malintenzionato di attivare un aggiornamento del firmware. I ricercatori affermano che gli aggiornamenti del firmware dei dispositivi Xiongmai non sono firmati e un utente malintenzionato può facilmente impersonare il cloud XMEye e fornire una versione firmware dannosa che contiene malware.
Repubblica Tecnica: I 6 motivi per cui non siamo riusciti a fermare le botnet
I ricercatori sostengono che le vulnerabilità trovate possono essere facilmente utilizzate dai voyeur per impossessarsi dei feed delle telecamere e osservare le vittime nelle loro case. In alcuni casi, alcune telecamere dispongono di un citofono audio a due vie, quindi è anche possibile che un aggressore possa interagire anche con le vittime.
Inoltre, tutti questi dispositivi possono essere violati da gruppi di spionaggio informatico ed essere utilizzati come punti di ingresso all'interno delle reti di organizzazioni prese di mira o per inoltrare traffico come parte di una tecnica nota come UPnProxy. Sono stati utilizzati gruppi di spionaggio informatico, noti anche come minacce persistenti avanzate (APT). sfruttando sempre più i router per i loro attacchi, il più recente dei quali è il Botnet VPNFilter, istituito dal gruppo russo APT28.
Ultimo ma non meno importante, tutti questi dispositivi Xiongmai sono anche la perfetta carne da cannone per gli allevatori di botnet IoT, che ora può eseguire la scansione di massa di XMEye P2P Cloud alla ricerca di account con crediti predefiniti e dirottare i dispositivi con malware firmware.
I dispositivi Xiongmai sono stati oggetto di abusi in passato da parte di botnet IoT, e in particolare di botnet create con il malware Mirai. Ad esempio, la metà dei dispositivi che hanno preso parte al massiccio attacco DDoS basato su Mirai contro il provider DNS gestito Dyn, che ha distrutto circa un quarto di Internet, erano dispositivi Xiongmai.
A quel tempo, Xiongmai fu oggetto di pesanti critiche e ha promesso di richiamare tutti i dispositivi vulnerabili.
Ma la SEC Consult sostiene in a rapporto ha pubblicato oggi che l'azienda cinese non ha investito nella sicurezza da quando ha corretto le vulnerabilità sfruttate dal malware Mirai alla fine del 2016.
Da allora, almeno quattro vulnerabilità [1, 2, 3, 4], alcuni di almeno un anno, sono rimasti senza patch, hanno detto i ricercatori.
La SEC Consult non ha avuto molta fortuna nel segnalare i difetti riscontrati. La società afferma che, nonostante abbia collaborato con i team CERT sia degli Stati Uniti che della Cina per allertare Xiongmai, la società non ha corretto i difetti segnalati a marzo di quest’anno.
"La conversazione con loro negli ultimi mesi ha dimostrato che la sicurezza non è affatto una priorità per loro", hanno detto i ricercatori della SEC Consult.
Sulla base delle scansioni eseguite dai ricercatori, ci sono almeno nove milioni di dispositivi basati su Xiongmai in giro su Internet.
Poiché nessuno di questi dispositivi presenta il nome o il logo Xiongmai, i proprietari di dispositivi che desiderano portare queste apparecchiature offline avranno difficoltà a determinare se utilizzano uno di questi dispositivi vulnerabili.
SEC Consult afferma che il modo più semplice per identificare un dispositivo prodotto da Xiongmai (e successivamente rinominato) è tramite la pagina di accesso del pannello di amministrazione dell'apparecchiatura, che assomiglia all'immagine seguente.
Nei casi in cui il fornitore che ha acquistato i dispositivi Xiongmai utilizzasse un design diverso per la pagina di accesso, gli utenti possono accedere alla pagina di errore del dispositivo all'indirizzo http://[device_IP]/err.htm per un secondo indizio. Se la pagina di errore è simile all'immagine seguente, si tratta di un dispositivo Xiongmai.
Inoltre, gli utenti possono trovare un ultimo indizio nella descrizione del prodotto all'interno del manuale stampato del dispositivo o negli elenchi di Amazon, HomeDepot o Walmart. Se la descrizione del prodotto menziona "XMEye", nonostante il logo sulla parte anteriore del dispositivo, l'attrezzatura è stata realizzata da Xiongmai.
SEC Consult afferma di essere riuscita a rintracciare più di un centinaio di altri fornitori che hanno acquistato dispositivi Xiongmai white label e hanno messo il loro logo in cima. L'elenco include nomi come: 9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON, Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision / sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo e ZRHUNTER.
Copertura correlata:
- Ti presentiamo Torii, una nuova botnet IoT molto più sofisticata delle varianti Mirai
- La nuova botnet IoT Hakai prende di mira i router D-Link, Huawei e Realtek
- Gli autori della botnet Mirai evitano il carcere dopo aver "sostanziale assistenza" all'FBI
- Il nuovo malware Virobot funziona come ransomware, keylogger e botnet
- Il nuovo malware XBash combina funzionalità di ransomware, coinminer, botnet e worm in una combinazione mortale