Grave vulnerabilidad en varios modelos de cámaras IP

vía Panda Security


Se ha dado a conocer una grave vulnerabilidad por la que una gran variedad de modelos populares de cámaras IP dejarían al descubierto en texto claro todas las credenciales residentes en su configuración, tanto
de los usuario como de las asociadas a servicios como FTP o mail.
La vulnerabilidad (CVE-2012-3002) que un principio fue comunicada en los foros oficiales de uno de los fabricantes (FOSCAM). Posteriores análisis han determinado que afectaría a muchos otros (Wansview principalmente) que comparten el firmware y chipset afectados de las series HiVision Hi35xx. El problema es que, además de almacenar las contraseñas en texto claro, es posible eludir la restricción que las protege y por tanto, se puede acceder a ellas por web sin conocer ninguna contraseña previa.
Por el momento, son 11 los fabricantes afectados y estos algunos de los fabricantes y modelos vulnerables:

  • FOSCAM - FI9820W, FI9802W, FI8608W, FI8601W FI8602W, FI8620, FI8609W, FI8919WZ
  •  WANSVIEW - NCH-536MW, NCH536MW, NCH-532MW, NCH532MW, NCH-531MW, NCH531MW
  • Suneyes - SP-HS05W, SP-HS02W
  • DBPOWER - H.264 HD MEGAPIXEL IPCAM
  • AGASIO - A522W, A622W
  • DERICAM - H501W
  • DSN-Q10
  • NVH-589MW
  • ASTAK MOLE
  • EasyN - HS-691
  • EasySE - H2


No existe por el momento un firmware actualizado que lo solucione. Se recomienda por tanto, aplicar controles de acceso a las URLs de este tipo de cámaras hasta poder aplicar un parche que corrija la
vulnerabilidad. Los parámetros con los que se pueden obtener las credenciales son:
http://camara/web/cgi-bin/hi3510/param.cgi?cmd=getuser
Es sencillo acceder a este tipo de cámaras expuestas en la red. Una búsqueda en Google permite localizar algunos de los modelos afectados.


Una vez presentados en la cámara, se obtiene control total, pudiendo
cambiar los credenciales, formatear la tarjeta de memoria , enviar
emails, etc...


Se ha publicado una pequeña herramienta que permite conocer si la cámara
es vulnerable o no.
Más información:
VU#265532: Multi-vendor IP camera web interface authentication bypass
http://www.kb.cert.org/vuls/id/265532
H264 IP Camera Web Interface Authentication Bypass Test Tool
http://foscam.us/forum/h264-ip-camera-web-interface-authentication-bypass-test-tool-t3252.html
H.264 IP Camera Exploit Tester
http://foscam.us/forum/h264-ip-camera-web-interface-authentication-bypass-test-tool-t3252.html
José Mesa  | jmesa[at]hispasec.com
Sergio de los Santos | ssantos[at]hispasec.com
Twitter: @ssantosv

Comentarios

Publicar un comentario

Entradas más populares de este blog

Coincidencias Desafortunadas: Ángel de Hielo

Imagen
Iniciamos esta nueva categoria: Coincidencias Desafortunadas, con el post de Filemón Alonso Miranda aka @urbanitas acerca de Goidsargi Estívalis Carranza, el Ángel de Hielo . La coincidencia desafortunada fué el AdSense de Google publicitando reparación de refrigeradores, siendo que la nota hablaba de que la asesina habia mantenido por varios días los cuerpos mutilados de su ex esposo y novio. #Toing
Leer más

Oldies Web

Imagen
Muchos de ustedes tendrán años navegando en Internet; pues bien para aquellos con melancolías por las primeras webs que alguna vez visitaron, es que les paso el siguiente tip: Vía el web Internet Archive Wayback Machine es posible visualizar versiones viejas de páginas web con teclear la dirección URL y seleccionar la fecha de interés. Ello puedes hacerlo siempre y cuando, en la cache del servidor host del sitio web de interés, se siga guardando la información de la versión añeja del web. Anexo una captura de pantalla de ejemplo donde observamos cómo se veía Google! Beta en Diciembre 2 de 1998.
Leer más