研究者らによると、100社以上が販売するブランド名を変更したIPカメラやDVRは簡単にハッキングされる可能性があるという。
数百万台のセキュリティ カメラ、DVR、NVR に脆弱性が存在し、リモートの攻撃者が簡単にデバイスを乗っ取ることができる可能性があることが、セキュリティ研究者らによって本日明らかにされました。
すべての脆弱なデバイスは次の企業によって製造されています。 杭州雄米科技有限公司 Xiongmai(以下、Xiongmai)は杭州市に拠点を置く中国企業です。
しかし、同社はハッキング可能なデバイスを販売していないため、エンドユーザーは自分がハッキング可能なデバイスを使用していることを知ることができません。 製品には自社の名前が付いていますが、すべての機器は他社がラベルを付けたホワイトラベル製品として出荷されます。 上部にロゴ。
EUに本拠を置くSEC Consultのセキュリティ研究者らは、Xiongmaiデバイスを自社製品として購入し、再ブランド化している100社以上の企業を特定したと述べた。
https://www.cnet.com/news/california-governor-signs-countrys-first-iot-security-law/
米CNET: カリフォルニア州知事、同国初のIoTセキュリティ法に署名
研究者らによると、これらのデバイスはいずれも簡単なハッキングに対して脆弱だという。 すべての脆弱性の原因は、すべてのデバイスにある「XMEye P2P Cloud」という名前の機能です。
XMEye P2P クラウドは、顧客のデバイスと XMEye クラウド アカウントの間にトンネルを作成することで機能します。 デバイス所有者は、ブラウザまたはモバイル アプリ経由でこのアカウントにアクセスし、デバイスのビデオ フィードをリアルタイムで表示できます。
SEC Consult の研究者らは、これらの XMEye クラウド アカウントは十分に保護されていないと述べています。 まず、アカウント ID はデバイスの連続した物理アドレス (MAC) に基づいているため、攻撃者はアカウント ID を推測できます。
次に、すべての新しい XMEye アカウントは、パスワードなしのデフォルトの管理者ユーザー名「admin」を使用します。
第三に、ユーザーはアカウント設定プロセス中にこのデフォルトのパスワードを変更するように求められません。
4 番目に、ユーザーが XMEye 管理者アカウントのパスワードを変更した場合でも、default/tluafed というユーザー名とパスワードの組み合わせを持つ 2 番目の非表示アカウントも存在します。
第 5 に、このアカウントにアクセスすると、攻撃者がファームウェアのアップデートをトリガーできるようになります。 研究者らによると、Xiongmai デバイスのファームウェアのアップデートには署名がされておらず、攻撃者は簡単に XMEye クラウドになりすまして、マルウェアを含む悪意のあるファームウェアのバージョンを配布することができます。
テックリパブリック: ボットネットを阻止できなかった 6 つの理由
研究者らは、発見した脆弱性は、盗撮者がカメラの映像を乗っ取り、自宅で被害者を監視するために簡単に利用できると主張している。 場合によっては、一部のカメラには双方向音声インターコムが付いているため、攻撃者が被害者と対話できる可能性さえあります。
さらに、これらすべてのデバイスはサイバースパイグループによってハッキングされ、標的となった組織のネットワーク内のエントリポイントとして使用されたり、「 UPnProxy. 高度持続的脅威 (APT) とも呼ばれるサイバースパイグループは、 ルーターを攻撃に利用するケースが増えている、最新のものは VPNFilter ボットネット、ロシアのAPT28グループによって設立されました。
最後になりましたが、これらの Xiongmai デバイスはすべて、IoT ボットネット管理者にとって完璧な大砲の餌食でもあります。 XMEye P2P クラウドを一括スキャンして、デフォルトの認証情報を持つアカウントを検索し、悪意のあるデバイスをハイジャックできるようになりました ファームウェア。
Xiongmai デバイスは、過去に IoT ボットネット、特に Mirai マルウェアで構築されたボットネットによって悪用されてきました。 たとえば、インターネットの約 4 分の 1 を破壊したマネージド DNS プロバイダー Dyn に対する大規模な Mirai ベースの DDoS 攻撃に関与したデバイスの半分は Xiongmai デバイスでした。
当時、シオンマイは激しい批判にさらされ、 脆弱なデバイスをすべてリコールすると約束.
しかし、SEC Consult の主張では、 報告 同社は本日、2016年末にMiraiマルウェアが悪用した脆弱性にパッチを当てて以来、セキュリティに投資していないことを発表した。
それ以来、少なくとも 4 つの脆弱性 [1, 2, 3, 4]の一部は少なくとも1年前のもので、パッチが適用されないまま放置されていたと研究者らは述べた。
SEC Consult は、発見した欠陥を報告したとき、あまり幸運ではありませんでした。 同社は、米国と中国の両方のCERTチームと連携してXiongmaiへの警告を行ったにもかかわらず、今年3月に報告した欠陥を修正しなかったと述べている。
SEC Consultの研究者らは、「過去数カ月にわたる彼らとの会話から、彼らにとってセキュリティはまったく優先事項ではないことがわかった」と述べた。
研究者が行ったスキャンによると、インターネット上には少なくとも 900 万台の Xiongmai ベースのデバイスが存在します。
これらのデバイスには Xiongmai の名前やロゴが付いていないため、このデバイスをオフラインにしたいデバイス所有者は、これらの脆弱なデバイスのいずれかを使用しているかどうかを判断するのが困難になります。
SEC Consult によると、Xiongmai 製 (その後ブランド変更された) デバイスを識別する最も簡単な方法は、以下の画像のような、機器の管理パネルのログイン ページによるものです。
Xiongmai デバイスを購入したベンダーがログイン ページに異なるデザインを使用していた場合、ユーザーは次の場所でデバイスのエラー ページにアクセスできます。 http://[device_IP]/err.htm 2番目の手がかりのために。 エラー ページが下の画像のような場合、それは Xiongmai デバイスです。
さらに、ユーザーは、デバイスの印刷されたマニュアル内の製品説明、または Amazon、HomeDepot、または Walmart の商品リストで最後の手がかりを見つけることができます。 製品説明に「XMEye」について言及されている場合は、デバイスの前面にロゴがあるにもかかわらず、その機器は Xiongmai 製ということになります。
SEC Consult は、Xiongmai のホワイトラベル デバイスを購入し、自社のロゴを掲載した他の 100 社以上のベンダーを追跡することができたと述べています。 リストには、9Trading、Abowone、AHWVSE、ANRAN、ASECAM、Autoeye、AZISHN、A-ZONE、BESDER/BESDERSEC、BESSKY、Bestmo、BFMore、BOAVISION、BULWARK、CANAVIS、CWH、DAGRO、datocctv、 DEFEWAY、digoo、DiySecurityCameraWorld、DONPHIA、ENKLOV、ESAMACT、ESCAM、EVTEVISION、Fayele、FLOUREON、Funi、GADINAN、GARUNK、HAMROL、HAMROLTE、Highfly、Hiseeu、HISVISION、HMQC、IHOMEGUARD、 ISSEUSEE、iTooner、JENNOV、Jooan、Jshida、JUESENWDM、JUFENG、JZTEK、KERUI、KKMOON、KONLEN、Kopda、Lenyes、LESHP、LEVCOECAM、LINGSEE、LOOSAFE、MIEBUL、MISECU、Nextrend、OEM、OLOEY、OUERTECH、QNTSQ、 SACAM、SANNCE、SANSCO、SecTec、シェルフィルム、Sifvision / sifsecurityvision、smar、SMTSEC、SSICON、SUNBA、Sunivision、Susikum、TECBOX、Techage、Techege、TianAnXun、TMEZON、TVPSii、Unique Vision、 Unitoptek、USAFEQLO、VOLDRELI、Westmile、Westshine、Wistino、Witrue、WNK Security Technology、WOWEA、WOSHIJIA、WUSONLUSAN、XIAO MA、XinAnX、xloongx、YiiSPO、YUCHENG、YUNSYE、zclever、zilnk、ZJUXIN、 zmodo、ZRHUNTER。
関連報道:
- Mirai の亜種よりもはるかに洗練された新しい IoT ボットネット、Torii をご紹介します
- 新しいHakai IoTボットネットはD-Link、Huawei、Realtekルーターを狙う
- Mirai ボットネット作成者、FBI への「大幅な支援」で刑務所を回避
- 新しい Virobot マルウェアはランサムウェア、キーロガー、ボットネットとして機能します
- 新しい XBash マルウェアは、ランサムウェア、コインマイナー、ボットネット、ワームの機能を致命的なコンボで組み合わせています