Um pesquisador encontrou múltiplas vulnerabilidades no Wireless IP Camera (F2f) câmeras WIFICAM e também falhas no servidor HTTP personalizado. Mais especificamente, mais que 100,000 câmeras conectados à Internet são propensas a ataques de uma nova Internet das coisas de malware apelidado Persirai. O malware está se espalhando por meio das vulnerabilidades dessas câmeras.
Malware Persirai observado por pesquisadores
De acordo com o pesquisador de segurança Pierre Kim, as falhas podem permitir que um invasor execute a execução remota de código para sequestrar as câmeras. O pesquisador relatou as vulnerabilidades ao fornecedor em março.
relacionado: Seu Linksys Smart Wi-Fi Router Modelo pode ser vulnerável
Vulnerabilidades exploradas em ataques Persirai
Infelizmente, o pesquisador diz que a câmera IP sem fio (P2) WIFICAM está cheio de falhas, bem como muitas outras câmeras chinesas. Mesmo que as câmeras sejam vendidas com nomes diferentes, marcas e funções, eles compartilham as mesmas vulnerabilidades. Basicamente, o fornecedor OEM usou uma versão personalizada do GoAhead e incluiu o código vulnerável dentro.
Por causa da reutilização de código, as vulnerabilidades estão presentes em uma enorme lista de câmeras (especialmente o InfoLeak e o RCE),que permitem executar comandos root contra 1250+ modelos de câmeras com vulnerabilidade de pré-autenticação.
Aqui está a lista de falhas:
CVE-2017-8224 – Conta backdoor
CVE-2017-8222 – Chave RSA e certificados
CVE-2017-8225 – Vazamento de informações de pré-autenticação (credenciais) dentro do servidor http personalizado
RCE autenticado como raiz
Pré-Auth RCE como root
CVE-2017-8223 – Diversos – Streaming sem autenticação
CVE-2017-8221 – Diversos – “Nuvem” (Aka Botnet)
Parece que pelo menos 1,250 modelos de câmeras produzidos pelos chineses estão sujeitos a ataques com base nas vulnerabilidades acima.
O que é pior é que a TrendMicro relatou uma nova família de malware que está sendo espalhada por meio de bugs nesses produtos. A empresa diz que aproximadamente 120,000 câmeras estão abertas para ataques do Persirai via Shodan, O motor de busca para dispositivos da Internet das coisas.
Semelhante a outro malware IoT, Persirai está infectando as câmeras para formar um botnet. Ataques DDoS são susceptíveis de seguir.
além do que, além do mais, outra empresa de segurança, Qihoo 360, também observou ataques de Persirai e estima que 43,621 câmeras na China estão infectadas com ele.
Outro worm IoT também foi descoberto recentemente por pesquisadores. o Verme Hajime tem capacidades mais furtivas do que Mirai, e é mais avançado do que o seu antecessor. Após a infecção inicial a ameaça iria tomar várias medidas para esconder seus processos em execução, bem como os seus arquivos no sistema de arquivos.
relacionado: Dicas de segurança para configurar dispositivos de Internet das coisas
além disso, o operador do worm pode abrir um shell script para qualquer dispositivo infectado na rede a qualquer momento. Os pesquisadores dizem que seu código é significado modular que novas capacidades podem ser adicionadas em qualquer lugar.
Na hora da descoberta, Hajime não tinha recursos de DDoS, mas isso poderia mudar rapidamente. Pesquisadores que descobrem novo malware IoT nessa taxa significa apenas uma coisa – o cenário de ataque Iot está prestes a ficar ainda pior.