Un chercheur a trouvé plusieurs vulnérabilités dans Caméra IP sans fil (P2P) caméras WIFICAM et aussi des défauts dans le serveur HTTP personnalisé. Plus précisement, plus que 100,000 caméras connectés à Internet sont sujettes à des attaques par un nouveau malware IdO surnommé Persirai. Le logiciel malveillant se propage via les vulnérabilités de ces caméras.
Persirai Malware Observé par des chercheurs
Selon le chercheur de sécurité Pierre Kim, les défauts pourraient permettre à un attaquant d'exécuter du code à distance de détourner les caméras. Le chercheur a rapporté des vulnérabilités au fournisseur dans Mars.
en relation: Votre Linksys Smart WiFi Modèle routeur pourrait être vulnérable
Les vulnérabilités exploitées dans les attaques Persirai
Malheureusement, le chercheur dit que la caméra IP sans fil (P2) WIFICAM est pleine de défauts, ainsi que beaucoup d'autres caméras chinoises. Même si les caméras sont vendus sous différents noms, marques et fonctions, ils partagent les mêmes vulnérabilités. Fondamentalement, le fournisseur OEM utilisé une version personnalisée de GoAhead et inclus le code vulnérable à l'intérieur.
En raison de la réutilisation de code, les vulnérabilités sont présentes dans une liste énorme de caméras (en particulier le InfoLeak et le RCE),qui permettent d'exécuter des commandes de racine contre 1250+ modèles d'appareils photo avec une vulnérabilité pré-auth.
Voici la liste des défauts:
CVE-2017-8224 – compte backdoor
CVE-2017-8222 – clé RSA et certificats
CVE-2017-8225 – Pré-Auth Infos fuite (lettres de créance) dans le serveur HTTP personnalisé
Assermentée en tant que root RCE
Pré-Auth en tant que root RCE
CVE-2017-8223 – Divers – Streaming sans authentification
CVE-2017-8221 – Divers – “Nuage” (aka Botnet)
Il semble qu'au moins 1,250 modèles de caméras produites par les Chinois sont sujettes à des attaques basées sur les vulnérabilités ci-dessus.
Ce qui est pire est que TrendMicro a fait état d'une nouvelle famille de logiciels malveillants qui se propage par les insectes dans ces produits. La compagnie dit qu'approximativement 120,000 caméras sont ouverts à Persirai attaques via Shodan, le moteur de recherche pour les appareils IdO.
De même que pour les autres logiciels malveillants IdO, Persirai infecte les caméras pour former un réseau de robots. Les attaques DDoS sont susceptibles de suivre.
En outre, une autre société de sécurité, Qihoo 360, a également observé des attaques Persirai et estime que 43,621 caméras en Chine sont infectées avec elle.
Un autre ver IdO a été récemment découvert par des chercheurs. La ver Hajime a des capacités furtives que Mirai, et est plus avancé que son prédécesseur. Après l'infection initiale, la menace prendrait plusieurs mesures pour cacher ses processus de fonctionnement ainsi que ses fichiers sur le système de fichiers.
en relation: Conseils de sécurité pour les périphériques IdO Configuration
En outre, l'opérateur du ver peut ouvrir un script shell à tout périphérique infecté dans le réseau à tout moment. Les chercheurs disent que son code est sens modulaire de nouvelles fonctionnalités peuvent être ajoutées dans vos déplacements.
Au moment de la découverte, Hajime n'a pas les capacités DDoS, mais cela pourrait changer rapidement. Les chercheurs la découverte de nouveaux logiciels malveillants IdO à ce taux signifie qu'une seule chose – le paysage d'attaque Iot est sur le point d'être encore pire.