Drie kwetsbaarheden gevonden in Foscam beveiligingscamera's. Eigenaars van dergelijke camera's worden aangespoord om zo snel mogelijk te updaten. De fouten worden omschreven als een willekeurig bestand-deletie bug, een shell command-injectie bug en stapelen gebaseerde buffer oferflow kwetsbaarheid. De fouten werden ontdekt door onderzoekers van VDOO.
Tijdens hun onderzoek, de experts kwam over zero-day kwetsbaarheden in apparaten van verschillende leveranciers. Deze kwetsbaarheden werden bekendgemaakt aan de leveranciers, volgens de verantwoordelijke openbaarmaking best practices, en zal geleidelijk worden gedeeld na de bekendmaking periodes worden afgesloten, aldus de onderzoekers.
In termen van de kwetsbaarheden in Foscam producten, een kritische keten van gebreken is opgegraven:
Het combineren van de ontdekte beveiligingslekken, een tegenstander die met succes het adres van de camera verkrijgt, kan op afstand te krijgen root-toegang tot de camera's (via LAN of internet). VDOO verantwoord is geopenbaard deze kwetsbaarheden (CVE-2018-6830, CVE-2018-6831 en CVE-2018-6832) en die zich bezighouden met de Foscam's security team om de zaak op te lossen.
Het security team is van mening dat de kwetsbaarheden niet geëxploiteerd in actieve aanvallen. Bovendien, blijkt dat de Foscam team zich heeft beijverd om de drie bugs patchen en duw ze aan hun blootgesteld klanten.
Meer over CVE-2018-6830, CVE-2018-6831 en CVE-2018-6832
Een aanval benutten van de bugs zou draaien rond een proces in de camera's die bekend staat als webservice. Het proces ontvangt verzoeken van servers en kunnen worden ingezet om referenties van de gebruiker controleren. Het kan ook de handler voor de specifieke API opdracht uit te voeren.
De eerste stap van een aanval gaat om een aanval krijgen toegang tot het IP-adres van de kwetsbare camera's of DNS-naam. Dit kan helemaal niet moeilijk te zijn, Naargelang de omstandigheden, specifieker – als de camera heeft een directe interface naar het internet.
De tweede stap is de aanvaller beuken webservice proces door gebruik CVE-2018-6832, de stack-gebaseerde buffer overflaw bug.
Nadat de service is gecrasht, het zal automatisch herstarten via de watchdog daemon. In de tijd van het herladen, de aanval zou de tweede kwetsbaarheid benutten, CVE-2018-6830, om bepaalde kritische bestanden te verwijderen. Dit zal leiden tot authenticatie bypass zodra de webservice proces opnieuw wordt geladen. Dit geeft de aanvaller de kans om admin toegang te krijgen. Zodra dit is gebeurd, de aanvaller het derde kwetsbaarheid gebruikt, CVE-2018-6831, root opdrachten uit te voeren.
Hier is het technische overzicht gepresenteerd door het VDOO-team:
De camera is het runnen van een Linux-besturingssysteem en alle processen worden uitgevoerd met root privileges. De webserver is een lighttpd met extra vendor code, en dan stuurt API-verzoeken aan haar interne CGIProxy.fcgi proces, met de FastCGI protocol. De CGIProxy.fcgi uitvoerbare stuurt verzoeken (met behulp van een eigen IPC mechanisme) de WebService proces - dat controleert referenties van de gebruiker (indien nodig) en loopt de handler voor de gewenste API commando. Afhankelijk van de opdracht, de geleider kan aanvullende code oproep uit het proces devMng, die op zijn beurt loopt meestal shellopdrachten via het systeem() of popen()bibliotheek oproepen, om het systeem services configureren. Een watchdog daemon herstart belangrijke processen nadat ze beëindigd.