Due popolari telecamere IP piene zeppe di vulnerabilità

Due telecamere di sicurezza appartenenti alla fascia consumer, provviste di indirizzo IP, prodotte da Loftek e VStartcam, sono risultate “imbottite” di un elevato numero di vulnerabilità – oltre un paio di decine – le quali espongono tali dispositivi ad attacchi informatici remoti. Secondo i ricercatori, sono attualmente in uso oltre 1,3 milioni di queste telecamere; 200.000 unità sono ubicate sul territorio degli Stati Uniti.

In base ad un report pubblicato martedì scorso da Checkmarx, è emerso che i modelli Loftek DSS-2200 e VStarcam C7837WIP possono consentire ad un utente malintenzionato di “sfruttare” agevolmente i dispositivi in questione. I criminali informatici, in pratica, hanno la possibilità di asservire questi ultimi ad estese botnet DDoS, e non solo: i malfattori potrebbero ugualmente assumere il pieno controllo di ulteriori dispositivi, che condividono la stessa rete.

Checkmarx ha affermato che i problemi identificati nelle telecamere Loftek e VStartcam sono problemi di natura sistemica, evidenziati anche da altre telecamere, non sicure, dotate di indirizzo IP. L’indagine condotta si rivela indubbiamente di particolare utilità, come valido esempio cautelativo, riguardo al problema, ormai dilagante, generato dal basso livello di sicurezza che viene riscontrato, spesso, su varie telecamere; si tratta, di fatto, di una problematica che crea un terreno davvero fertile per gli hacker ed il malware IoT di natura distruttiva, come lo è, ad esempio, Mirai.

I ricercatori hanno riferito che, quando sono stati eseguiti i test sulle telecamere IP di Loftek e VStartcam, entrambe prodotte in Cina, è suonato immediatamente il campanello d’allarme.

“Una volta concluse le nostre scansioni iniziali, siamo giunti alla conclusione che, se la vostra telecamera (Loftek o VStarcam) è connessa in Rete, siete sicuramente a rischio. Tutto qui. È molto semplice,” hanno scritto i ricercatori di Checkmarx.

Citiamo, tra le vulnerabilità emerse in maniera palese, le credenziali hardcoded, l’impossibilità di aggiornare il firmware, la mancanza di supporto per il protocollo HTTPS, e la presenza di una porta Telnet non documentata sulla videocamera IP di VStartcam.

La mancanza di supporto HTTPS è, di per se stessa, già abbastanza grave, ha dichiarato Amit Ashbel, cyber-security evangelist presso Checkmarx. Egli ha aggiunto che questa vulnerabilità, da sola, può consentire ad un attacker di inviare alla telecamera una richiesta GET di tipo clear text (testo semplice), contenente tutta una serie di comandi diversi tra loro, utilizzabili per ottenere agevolmente l’accesso iniziale al dispositivo.

“Con le richieste GET è ad esempio possibile creare nuovi utenti. Come admin, non occorre modificare le password; è pertanto probabile che la password di default possa funzionare,” ha precisato l’esperto di sicurezza IT. Questo, in sostanza, consente all’attacker di poter creare un secondo utente in grado di beneficiare dei privilegi di amministratore, mantenendo la password di admin e lo username originali: ogni possibile sospetto viene in tal modo evitato.

Entrambe le telecamere IP, inoltre, si sono rivelate vulnerabili ad una serie di ulteriori problemi, tra cui le vulnerabilità di tipo cross-site request forgery, le falle di sicurezza di tipo stored cross-site scripting, i bug di tipo server-side request forgery e HTTP response splitting. Sono stati testati e confermati, in totale, ben 21 exploit.

Secondo i ricercatori, il contributo maggiore a tali problemi di sicurezza è dato da due tipi di software utilizzati su entrambi i dispositivi, denominati Netwave e GoAhead, sviluppati tutti e due in Cina.

“Abbiamo cercato, da parte nostra, di raggiungere entrambi i produttori delle videocamere IP, nel quadro del tentativo da noi messo in atto per coordinare al meglio la divulgazione di quanto era stato rilevato. Di fatto, nessuno ci ha risposto”, ha riferito Ashbel.

Egli ha poi sottolineato come un’ampia gamma di produttori cinesi di telecamere IP utilizzi, per i propri dispositivi, hardware e software del tutto simili. “Abbiamo rilevato come molte delle telecamere IP wireless presenti sul mercato, soprattutto quelle vendute a prezzi decisamente contenuti su popolari siti web, siano equipaggiate con firmware Netwave e GoAhead,” hanno puntualizzato i ricercatori.

Nonostante siano ancora in uso 1,3 milioni di dispositivi, entrambe le videocamere non sono più in vendita. Tuttavia, eseguendo ulteriori scansioni nell’ambito dell’Internet of Things, tramite il noto motore di ricerca Shodan, sono stati individuati altri modelli di telecamera che utilizzavano, ugualmente, lo stesso firmware vulnerabile: citiamo, tra questi, Foscam, Advance, Wanscan, Apexis, Visioncam, Eshine ed EyeSight.

“Si può presentare uno scenario in cui un attaccante potrebbe utilizzare le impostazioni delle telecamere per inviare e-mail di spam, oppure per “inondare” di messaggi la posta in arrivo della vittima. Con un semplice script, un attacker potrebbe lanciare un attacco del genere davvero con il minimo sforzo,” si riferisce inoltre nel report sopra citato.

“Le telecamere risultano vulnerabili di default, soprattutto la Loftek 2200, che potrebbe essere persino utilizzata in qualità di backdoor per la vostra rete. Vale davvero la pena spendere qualche soldo in più, per avere poi una telecamera più sicura,” ha infine concluso  Ashbel.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *