F-Secure公司发现我国厂商福斯康姆公司(Foscam)的多款IP摄像机产品中曝出高达18项安全漏洞。这些安全漏洞早在数个月之前即被报告至厂商处,但截至目前仍无任何修复方案发布。
福斯康姆(FOSCAM)集团是一家专注于设计、研发、制造及销售网络摄像机、网络视频录像机等产品的高新技术企业。其实行全球化经营战略,营销服务网络遍及世界各地,在全球29个国家和地区注册了商标,在北美、南美、欧洲、澳洲、东南亚、印度等80多个国家和地区占有一定市场份额。
一次性被曝18个安全漏洞,国内网络摄像机制造商福斯康姆头大-E安全
黑客可以利用这些漏洞进行DDoS分布式拒绝服务袭击,查看私人视频,下载存储文件,并可能危及连接到同一本地网络中的其他设备,这些漏洞甚至可以永久替换控制照相机的正常固件, 并能在不被检测到的情况下对设备进行强制重启,事实上,利用IP摄像机发起的攻击要求设备必须进行重启。
漏洞影响多品牌摄像头
F-Secure公司强调,此次发现的18项漏洞最初源自Opticam i5与Foscam C2摄像机。
这些安全漏洞当中包含非安全默认凭证、硬编码凭证、隐藏与未记录远程登录功能、命令注入缺陷、缺少授权、不正确访问控制、跨站点脚本以及缓冲区溢出等等。这一切都在F-Secure公司于今天发布的报告(PDF格式)当中进行了详尽说明。
F-Secure公司公司网络安全专家珍尼-库汉宁(Janne Kauhanen)表示,“这些产品在设计当中忽视了安全性保障要求。开发人员的主要关注重点在于确保产品正常运行并尽快将其售出,严重忽视安全问题导致用户及其网络很可能因此面临风险。而更为讽刺的是,这种设备通常作为提升物理环境安全水平的方案进行销售,但很明显使用这些产品将严重影响到虚拟环境的安全状况。”并警告称,这些安全漏洞同样有可能存在于Foscam的其它产品线当中。
据悉,目前共有14种独立品牌实际上也是在销售福斯康姆公司制造的摄像头,即Foscam公司的摄像机以多种品牌名称进行销售,其中包括:
Chacon、Thomson、7links、Opticam、Netis、Turbox、、Novodio、Ambientcam、Nexxt、Technaxx、Qcam、Ivue、Ebode、Sab。
建议用户检查来自该制造商的全部IP摄像机。
漏洞利用实例
人们对远程设备安全性(特别是摄像机)的关注,自于Mirai僵尸网络以及有史以来针对互联网基础设施的规模最大DDoS攻击活动以来有所加强,但Foscam产品中暴露的安全漏洞在数量与严重程度上显然证明安保之路还很漫长。
F-Seucre公司高级安全顾问哈利·辛东宁(Harry Sintonen)评论认为,这些安全漏洞允许攻击者实现能够想到的几乎一切攻击活动。恶意人士可以对其进行逐个利用或者混合匹配,从而在设备及网络当中获取更高权限。”
F-Secure公司还针对这些产品提供了几项示例性攻击。例如:
未经身份验证但能够访问特定端口的用户,将可以利用命令注入向设备当中添加新的root用户,从而启用标准远程登录服务(Telnet)。在此之后,一旦通过此远程登录服务完成登录,攻击者即可获取设备上的管理员权限。
F-Secure公司在报告中解释称,FTP用户帐户上的空密码可用于实现登录。此后,攻击者将能够激活隐藏的Telnet功能,借此访问负责控制引导时自动启动的具体程序的非受限全域可写文件,最终将任意程序添加至这份列表当中。通过这种方式,攻击者将能够实现长期访问,并在设备重启后仍可快速恢复入侵能力。
漏洞进展
显然,相关修复责任应该由制造商来承担,鉴于Foscam公司尚未提供任何修复程序,而且Foscam IP摄像机仍采用硬编码凭证,攻击者能够轻松绕过各类后设置凭证,也就是说更改默认密码已经不能够起到抵御攻击者的作用了。
E安全建议用户将此类摄像机安装在专用网络或者VLAN之内,其他建议包括使用“真正随机的默认管理密码”并将密码内容贴在设备底部;删除内置凭证并采用适当的iptables防火墙。
总之,F-Secure公司建议该供应商在产品生命周期中适当引入安全流程,在设计之初就充分考虑其安全性需求。为安全需求投入必要资源正是实现竞争优势的一项重要途径。另外,对监管要求下的安全设计实践确实落实执行,亦能有助于供应商在市场当中占据有利位置。
本文转自d1net(转载)
