Drei Schwachstellen wurden in Foscam Sicherheitskameras. Besitzer solcher Kameras werden dringend gebeten, so schnell wie möglich zu aktualisieren,. Die Fehler werden als eine beliebige Datei-Löschung Fehler beschrieben, ein Shell-Befehl-Injektions Bug und ein Stapel-basierten Puffer oferflow Verwundbarkeit. Die Fehler wurden von den Forschern an VDOO entdeckt.
Während ihrer Forschung, Die Experten kamen über Zero-Day-Schwachstellen in Geräten von verschiedenen Anbietern. Diese Schwachstellen wurden die Hersteller bekannt, nach dem verantwortlichen Offenlegung Best Practices, und wird geteilt allmählich, nachdem die Offenlegung Zeiten geschlossen werden, sagten die Forscher.
In Bezug auf die Sicherheitslücken in Foscam Produkte, eine kritische Kette von Fehlern wird ausgegraben:
Die Kombination der entdeckten Schwachstellen, ein Gegner, der erfolgreich die Adresse der Kamera erhält, kann aus der Ferne Root-Zugriff auf die Kameras gewinnen (über LAN oder Internet). VDOO offenbart verantwortungs diese Sicherheitsanfälligkeiten (CVE-2018-6830, CVE-2018-6831 und CVE-2018-6832) und mit Foscam Sicherheitsteam engagiert um die Angelegenheit zu lösen.
Das Sicherheitsteam glaubt, dass die Schwachstellen nicht in aktiven Angriffen ausgenutzt worden. Außerdem, es scheint, dass die Foscam Team prompt die drei Bugs zu flicken gehandelt und schieben Sie sie auf ihrer exponierten Kunden.
Mehr über CVE-2018-6830, CVE-2018-6831 und CVE-2018-6832
Ein Angriff der Bugs ausnutzen würde in den Kameras um einen Prozess drehen als webService bekannt. Der Prozess empfängt Anforderungen von Servern und kann eingesetzt werden, um die Benutzer-Anmeldeinformationen zu überprüfen. Es kann auch die Handler für den bestimmten API-Befehl ausführen.
Der erste Schritt eines Angriffs beinhaltet einen Angriff auf die verwundbare Kamera die IP-Adresse oder den DNS-Namen bekommen Zugang. Dies kann nicht schwierig sein, überhaupt, je nach den Umständen, genauer – wenn die Kamera verfügt über direkte Schnittstelle zum Internet.
Der zweite Schritt ist der Angreifer den webService Prozess Absturz von CVE-2018-6832 Ausnutzen, der Stack-basierten Puffer overflaw bug.
Nachdem der Dienst abgestürzt, es wird automatisch über den Watchdog-Daemon neu gestartet. Während der Zeit des reload, der Angriff könnte die zweite Schwachstelle nutzen,, CVE-2018-6830, insbesondere kritische Dateien löschen. Dies wird einmal die Webservice Prozess neu geladen, um die Authentifizierung Bypass führen. Dies gibt dem Angreifer eine Chance Admin-Zugang zu gewinnen. Sobald dies geschehen ist, kann der Angreifer die dritte Sicherheitsanfälligkeit, CVE-2018-6831, root Befehle auszuführen.
Hier ist die technische Übersicht des VDOO-Teams:
Die Kamera läuft ein Linux-Betriebssystem und alle Prozesse laufen mit Root-Rechten. Der Web-Server ist ein lighttpd mit zusätzlichem Lieferantencode, und er leitet API-Anforderungen an ihren internen Prozess CGIProxy.fcgi, durch das FastCGI-Protokoll. Die CGIProxy.fcgi ausführbares leitet Anfragen (durch einen proprietären IPC-Mechanismus) zum webService Prozess - überprüft, ob die Anmeldeinformationen des Benutzers (wenn benötigt) und führt das Behandlungsroutine für den gewünschten API-Befehl. Je nach Befehl, der Handler kann zusätzliche Code aus dem devMng Prozess aufrufen, das wiederum in der Regel läuft Shell-Befehlen, indem das System unter Verwendung von() oder popen()Bibliothek Anrufe, konfigurieren Systemdienste. Ein Watchdog-Daemon startet wichtige Prozesse, nachdem sie beendet werden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: