Afbeelding: Paul Marrapese
×
hichip-camera-met-uid.png
Meer dan twee miljoen IoT apparaten, misschien meer, zijn met behulp van een kwetsbare P2P firmware onderdeel waarmee hackers te zoeken en over te nemen getroffen systemen.
Kwetsbare apparaten zijn IP camera ‘s, babyfoons, smart bellentableau, Dvr’ s, en vele anderen, vervaardigd en verkocht door meerdere leveranciers onder honderden merken, zoals HiChip, het netwerkcmos, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Gezichtsvermogen, en HVCAM, maar een paar te noemen.
Wat al deze apparaten met elkaar gemeen hebben is dat ze gebruik iLnkP2P, een firmware-component die het mogelijk maakt het apparaat om te praten met leveranciers van servers via het P2P (peer-to-peer) protocol.
Eerder dit jaar, security-onderzoeker Paul Marrapese twee kwetsbaarheden ontdekt in dit onderdeel –bijgehouden onder de CVE-2019-11219 en CVE-2019-11220 id ‘ s.
Volgens Marrapese, de eerste “biedt aanvallers de mogelijkheid om snel te ontdekken apparaten die online zijn,” en het tweede “kunnen aanvallers onderscheppen verbindingen met apparaten en het uitvoeren van man-in-the-middle-aanvallen” en “om te stelen van de wachtwoord in om een toestel en neem de controle.”
Component-maker niet reageren op security-onderzoeker
De onderzoeker zegt dat de kwetsbare onderdeel van de maker –Chinese bedrijf Shenzhen Yunni Technology Company, Inc– niet reageren op e-mails kennisgeving aan de vennootschap over de twee beveiligingslekken.
Pogingen om contact met de verkoper via de CERT Coordination Center (CERT/CC) van de Carnegie Mellon University en China ‘ s national Computer Emergency Response Team (CN-CERT) had ook mislukt.
“Ik adviseer iedereen afvoeren van kwetsbare apparaten, maar alleen als ze dat niet kunnen, moeten ze blokkeren van UITGAANDE verkeer naar 32100/udp,” de onderzoeker vertelde ZDNet in een e-mail.
Het blokkeren van het verkeer op UDP-poort 32100 wordt voorkomen dat hackers en botnets uit de exploitatie van de kwetsbaarheden op afstand, hoewel de apparaten blijven kwetsbaar voor uitbuiting pogingen vanuit het lokale netwerk, maar de onderzoeker is van mening dat dit een meer aanvaardbaar risico.
Hoe om ter plaatse van een kwetsbaar apparaat
Want er zijn honderden merken die gebruik kunnen maken van de iLnkP2P component in hun firmware, op een website de onderzoeker publiceerde deze week, hij wordt vermeld twee methoden apparaat eigenaren kunnen gebruiken en zien als hun apparaat beïnvloed kunnen worden.
“Apparaten die gebruik maken van de volgende Android-apps kwetsbaar,” de onderzoeker zei:
HiChip: CamHi, P2PWIFICAM, iMega Cam, WEBVISION, P2PIPCamHi, IPCAM PVStarcam: Eye4, EyeCloud, VSCAM, PnPCamWanscam: E View7NEO: P2PIPCAM, COOLCAMOPSricam: APCameraDiverse: P2PCam_HD
Daarnaast apparaten die zijn voorzien van een UID-id vermeld op de etiketten in de vorm van “XXXX-123456-ABCDE,”, waarbij XXXX staat voor een van de volgende codes worden ook beïnvloed:
| STEUN | AJT | AVA | BSIP | CAM |
| CPTCAM | CTW | DFT | DFZ | DYNE |
| EEEE | ELSA | ESN | ESS | EST |
| FFFF | GCMN | GGGG | GKW | HDT |
| HHHH | HRXJ | HVC | HWAA | HZD |
| HZDA | HZDB | HZDC | HZDN | HZDX |
| HZDY | HZDZ | IIII | IPC | ISRP |
| JWEV | KSC | MCI | MCIHD | MDI |
| MDIHD | MEG | MEYE | MGA | MGW |
| MIC | MICHD | MMMM | MSE | MSEHD |
| MSI | MSIHD | MTE | MTEHD | MUI |
| MUIHD | NIP | NIPHD | NPC | NTP |
| OBJ | Opc ‘ s | OPMS | PAR | PARC |
| PC ‘ s | PHP | PIO | PIPCAM | PIX |
| PNP | PSD | PTP | QHSV | ROSS |
| SID | SIP | SXH | TIO | RVS |
| UID | VIO | VSTD | VSTF | WBT |
| WBTHD | Van wns | WNSC | BXH | WXO |
| XDBL | XTST | ZES | ZLD | ZSKJ |
| ZZZZ |
De onderzoeker ontdekking is niet een op zichzelf staand geval. Terug in oktober, cyber-security bedrijf SEC Raadplegen gevonden soortgelijke tekortkomingen in apparatuur die is vervaardigd door een ander Chinees bedrijf, die werden ook verkocht als ‘ white-label apparaten en omgedoopt door tientallen andere bedrijven. In totaal zijn er meer dan negen miljoen security camera ‘s, Dvr’ s, en NVRs werden verondersteld te worden beïnvloed door deze gebreken.
Meer kwetsbaarheid rapporten:
Populaire jQuery JavaScript-bibliotheek beïnvloed door een prototype van de verontreiniging flawMobile app gebruikt in Car2go fraude regeling te stelen 100 voertuigen
Lek stelt aanvallers herstellen van de private sleutels van Qualcomm chipsNew Oracle WebLogic zero-day ontdekt in de wildNokia 9 buggy update laat iedereen bypass vingerafdruk scanner met een pack van gumMicrosoft verliest de controle over Windows Tegels subdomainKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Het Internet van Dingen
Beveiliging TV
Data Management
CXO
Datacenters