Tre sårbarheder er fundet i Foscam overvågningskameraer. Ejere af sådanne kameraer opfordres så hurtigt som muligt at opdatere. Fejlene er beskrevet som en vilkårlig fil-sletning bug, en skalkommando-injektion bug og en stak-baseret buffer oferflow sårbarhed. De fejl blev opdaget af forskere på VDOO.
Under deres forskning, eksperterne stødte på zero-day sårbarheder i enheder af flere leverandører. Disse sårbarheder blev beskrevet til sælgerne, i henhold til de ansvarlige oplysningskrav bedste praksis, og vil blive delt gradvist efter de oplysningsforpligtelser perioder er afsluttet, forskerne sagde.
Med hensyn til de sårbarheder i Foscam produkter, en kritisk kæde af fejl er blevet udgravet:
Ved at kombinere de fundne sårbarheder, en modstander, der med succes opnår adressen på kameraet, kan fjernstyre få root-adgang til kameraerne (via LAN eller internet). VDOO har ansvarligt beskrevet disse sårbarheder (CVE-2018-6830, CVE-2018-6831 og CVE-2018-6832) og engageret med Foscam sikkerhed team til at løse sagen.
Sikkerhedsteamet mener, at sårbarhederne ikke er blevet udnyttet i aktive angreb. Desuden, fremgår det, at Foscam holdet handlet hurtigt for at lappe de tre bugs og skubbe dem til deres udsatte kunder.
Mere om CVE-2018-6830, CVE-2018-6831 og CVE-2018-6832
Et angreb udnytter bugs ville dreje sig om en proces i kameraerne er kendt som WebService. Processen modtager anmodninger fra servere og kan implementeres for at verificere brugerens legitimationsoplysninger. Det kan også køre handleren for den pågældende API-kommando.
Det første skridt for et angreb involverer et angreb at få adgang til den sårbare kameraets IP-adresse eller DNS-navn. Det kan ikke være svært overhovedet, afhængig af omstændighederne,, mere specifikt – hvis kameraet har direkte grænseflade til internettet.
Det andet trin er angriberen Crash webservicen proces ved at udnytte CVE-2018-6832, stakken-buffer overflaw bug.
Efter gudstjenesten er gået ned, det genstarter automatisk via vagthund dæmonen. I den tid af reload, angrebet kunne udnytte den anden sårbarhed, CVE-2018-6830, at slette bestemte vigtige filer. Dette vil føre til autentificering bypass når webservicen proces genladninger. Dette giver angriberen en chance for at vinde admin adgang. Når dette er gjort, hackeren kan bruge den tredje sårbarhed, CVE-2018-6831, at udføre root kommandoer.
Her er den tekniske oversigt præsenteret af VDOO-teamet:
Kameraet kører en Linux-operativsystem og alle processer kører med root privilegier. Webserveren er en lighttpd med ekstra leverandør kode, og det sender API anmodninger til sin interne CGIProxy.fcgi proces, ved hjælp af FastCGI protokol. Den CGIProxy.fcgi eksekverbare videresender anmodninger (ved anvendelse af en proprietær IPC mekanisme) til Webservice proces - der kontrollerer brugerens legitimationsoplysninger (hvis det er nødvendigt) og kører handleren for den ønskede API kommando. Afhængig af kommando, handleren kan kalde tillægskode fra devMng processen, som igen normalt kører skalkommandoer ved anvendelse af systemet() eller popen()bibliotekskald, at konfigurere systemtjenester. En vagthund dæmon genstarter vigtige processer efter de er afsluttet.