Błędy oprogramowania układowego D-Link mogą umożliwić szpiegowanie strumienia IP wideo

Jeśli prowadzisz bank i korzystasz z kamery IP z D-Link, możesz na to zwrócić uwagę.

Wiele opartych na protokole IP kamer wideo D-Link ma luki w oprogramowaniu, które mogłyby umożliwić atakującemu przechwycenie strumienia wideo, zgodnie z badaczami bezpieczeństwa.

Core Security, firma z Bostonu specjalizująca się w wykrywaniu i analizie luk w zabezpieczeniach, opublikowała w poniedziałek szczegóły pięciu luk w zabezpieczeniach w oprogramowaniu D-Link, które jest opakowane w co najmniej 14 swoich produktów.

[Czytaj dalej: Najlepsze zabezpieczenia przeciwprzepięciowe dla kosztownego sprzętu elektronicznego]

D-Link tworzy różnorodne kamery internetowe, które sprzedaje dla przedsiębiorstw i konsumentów. Kamery mogą rejestrować obrazy i wideo i być kontrolowane za pomocą internetowych paneli kontrolnych. Kanały na żywo można wyświetlać na niektórych urządzeniach mobilnych.

Jeden z wrażliwych modeli, DCS-5605 / DCS-5635, ma funkcję wykrywania ruchu, którą D-Link sugeruje w swoich materiałach marketingowych, która byłaby dobra dla banków, szpitale i biura

Naukowcy Core Security odkryli, że możliwe jest uzyskanie dostępu bez uwierzytelniania strumienia wideo na żywo za pośrednictwem RTSP (protokół transmisji w czasie rzeczywistym), jak również wyjście ASCII strumienia wideo w modelach, których dotyczy problem. RTSP jest protokołem na poziomie aplikacji do przesyłania danych w czasie rzeczywistym, według Internet Engineering Task Force.

Naukowcy znaleźli również problem z internetowym panelem kontrolnym, który pozwoliłby hakerowi na wprowadzanie dowolnych poleceń. W innym błędzie D-Link zakodowane na stałe poświadczenia logowania do oprogramowania układowego, które "skutecznie służy jako backdoor, który umożliwia zdalnym napastnikom dostęp do strumienia wideo RTSP," Core Security powiedział w swoim doradztwie.

Szczegóły techniczne są opisane w poście w sekcji Seclists.org w pełnej jawności, wraz z listą znanych produktów, których niektóre z nich zostały wycofane przez D-Link.

Core Security zgłosiło D-Link problemu 29 marca, zgodnie z dziennikiem interakcji dwóch firm zawartych w publikacji na temat pełnego ujawnienia. Dziennik, napisany przez Core, zawiera ciekawe szczegóły na temat tego, jak obie firmy korespondowały i najwyraźniej miał kilka nieporozumień.

Według Core, D-Link powiedział, że miał "niepublikowany program nagród dla dostawców bezpieczeństwa". Wiele firm ma programy błędów, które nagradzają naukowców gotówką lub innymi zachętami za znajdowanie problemów bezpieczeństwa w swoich produktach i informowanie ich przed publicznym ujawnieniem szczegółów.

Około 20 marca, D-Link poprosił, aby Core Security podpisało "memo zrozumienia" w ramach programu, który Core odrzucił. Warunki noty nie zostały opisane. Core powiedział D-Link, że "otrzymywanie pieniędzy od sprzedawców może wpływać negatywnie na raport."

Obie firmy miały inne niewielkie wsparcie. D-Link powiedział Core, że wyda poprawki i wskazówki, aby rozwiązać problemy na forum pomocy D-Link. D-Link czekałby na miesiąc przed publicznym ogłoszeniem.

Core Security nie spodobał się ten pomysł. W ubiegłą środę Core poprosił D-Link "o wyjaśnienie dotyczące daty wydania D-Link i informuje, że wydawanie poprawek do uprzywilejowanej zamkniętej grupy i / lub zamkniętego forum lub listy jest niedopuszczalne."

Forum D-Link ma pole logowania, ale wygląda na to, że każdy może przeglądać wiele postów bez rejestracji. D-Link wrócił dzień później i powiedział, że łatki są gotowe i zostaną opublikowane na swojej stronie internetowej "w ciągu kilku następnych dni", napisał Core.

D-Link nie odpowiedział natychmiast na prośby o komentarz. Na forum pomocy technicznej firmy nie było jasne, czy aktualizacje oprogramowania układowego zostały jeszcze publicznie opublikowane.

Core Security przyznał swoim badaczom, Francisco Falconowi, Nahuelowi Riva, Martinowi Rocha, Juanowi Cotta, Pablo Santamaria i Fernando Mirandzie, że znaleźli problemy.