Immagine: Paolo Marrapese
×
hichip-fotocamera-con-uid.png
Più di due milioni di dispositivi IoT, forse di più, utilizza un vulnerabili P2P firmware componente che consente agli hacker di individuare e assumere sistemi interessati.
Dispositivi vulnerabili includono telecamere IP, baby monitor, smart campanelli, Dvr, e molti altri, prodotti e venduti da più fornitori di sotto di centinaia di marche, come HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Vista dell’Occhio, e HVCAM, solo per citarne alcuni.
Ciò che tutti questi dispositivi hanno in comune è che essi utilizzano iLnkP2P, un componente firmware che permette al dispositivo di parlare di fornitori di server tramite il P2P (peer-to-peer) protocollo.
All’inizio di quest’anno, il ricercatore di sicurezza Paolo Marrapese scoperto due vulnerabilità in questo componente –monitorati sotto il CVE-2019-11219 e CVE-2019-11220 identificatori.
Secondo Marrapese, il primo “consente agli aggressori di rapida individuazione dei dispositivi che sono online,” mentre la seconda “consente agli aggressori di intercettare le connessioni a dispositivi ed eseguire man-in-the-middle attacchi” e “per rubare la password di un dispositivo e di prendere il controllo di esso.”
Produttore di componenti non rispondere al ricercatore di sicurezza
Il ricercatore dice che il componente vulnerabile del maker-società Cinese di Shenzhen Yunni Technology Company, Inc– non rispondere alle e-mail di notifica della società circa i due falle di sicurezza.
Prova a contattare il venditore tramite il CERT Coordination Center (CERT/CC) presso la Carnegie Mellon University e nazionale Cinese di Computer Emergency Response Team (CN-CERT) aveva anche fallito.
“Raccomando a chiunque di disporre di dispositivi vulnerabili, ma solo se non, si dovrebbe bloccare il traffico in USCITA verso 32100/udp,” il ricercatore detto a ZDNet in una e-mail.
Bloccando il traffico sulla porta UDP 32100 impedirà attaccanti e botnet da sfruttare le vulnerabilità in remoto, anche se dispositivi rimarranno vulnerabili allo sfruttamento tentativi dalla rete locale, ma il ricercatore ritiene questo un più accettabile di rischio.
Come individuare un dispositivo vulnerabile
Dato che ci sono centinaia di marchi di dispositivi che possono utilizzare il iLnkP2P componente nel loro firmware, su un sito web, per il ricercatore, pubblicato questa settimana, ha elencato due metodi proprietari di dispositivo può utilizzare e vedere se il loro dispositivo potrebbe essere influenzato.
“I dispositivi che utilizzano le seguenti applicazioni Android possono essere vulnerabili”, il ricercatore ha detto:
HiChip: CamHi, P2PWIFICAM, iMega Cam, WEBVISION, P2PIPCamHi, IPCAM PVStarcam: Eye4, EyeCloud, VSCAM, PnPCamWanscam: E View7NEO: P2PIPCAM, COOLCAMOPSricam: APCameraVari: P2PCam_HD
Inoltre, i dispositivi che dispongono di un UIDO identificatore elencati sulle etichette in formato “XXXX-123456-ABCDE”, dove XXXX è uno dei seguenti codici, sono anche interessati:
| AIUTO | AJT | AVA | BSIP | CAM |
| CPTCAM | CTW | DFT | DFZ | DYNE |
| EEEE | ELSA | ESN | ESS | EST |
| FFFF | GCMN | GGGG | GKW | HDT |
| HHHH | HRXJ | HVC | HWAA | HZD |
| HZDA | HZDB | HZDC | HZDN | HZDX |
| HZDY | HZDZ | IIII | IPC | ISRP |
| JWEV | KSC | MCI | MCIHD | MDI |
| MDIHD | MEG | MEYE | MGA | MGW |
| MIC | MICHD | MMMM | MSE | MSEHD |
| MSI | MSIHD | MTE | MTEHD | MUI |
| MUIHD | NIP | NIPHD | NPC | NTP |
| OBJ | OPC | OPMS | PAR | PARC |
| PC | PHP | PIO | PIPCAM | PIX |
| PNP | PSD | PTP | QHSV | ROSS |
| SID | SIP | SXH | TIO | TSD |
| UID | VIO | VSTD | VSTF | WBT |
| WBTHD | WNS | WNSC | WXH | WXO |
| XDBL | XTST | ZES | ZLD | ZSKJ |
| ZZZZ |
Il ricercatore di scoperta non è un caso isolato. Torna nel mese di ottobre, il cyber-sicurezza ditta SEC Consultare trovato simile difetti dispositivi di prodotto da un’altra azienda Cinese, che allo stesso modo sono stati venduti come in white label, dispositivi e rimarchiati da decine di altre aziende. In totale, più di nove milioni di telecamere, Dvr e Nvr sono stati creduto di essere influenzati da questi difetti.
Più vulnerabilità di report:
Popolare libreria JavaScript jQuery risentito prototipo di inquinamento flawMobile app utilizzata in Car2go schema di frode per rubare 100 veicoli
Falla di sicurezza consente agli aggressori di recuperare le chiavi private da Qualcomm chipsNew Oracle WebLogic zero-day scoperta nel wildNokia 9 buggy aggiornamento consente a chiunque di bypassare scanner di impronte digitali con un pacchetto di gumMicrosoft perde il controllo su Windows Piastrelle subdomainKRACK attacco: Ecco come le aziende stanno rispondendo CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Internet delle Cose
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati