Nedostaci u firmveru D-Link mogu dopustiti IP video stream špijuniranje

Ako pokrenete banku i koristite IP video kameru iz D-Linka, možda ćete htjeti obratiti pozornost na ovo.

Brojni video kamere za nadzor IP

Core Security, tvrtka sa sjedištem u Bostonu koja je specijalizirana za otkrivanje ranjivosti i istraživanja, objavila je u ponedjeljak detalje o pet ranjivosti koje su napravile D-Link.

[Daljnje čitanje: Najbolji prenaponski zaštitnici za vašu skupu elektroniku]

D-Link čini raznim kamerama povezanim s internetom koje prodaje tvrtkama i potrošačima. Kamere mogu snimati slike i videozapise i kontrolirati ih putem web-based kontrolnih ploča.

Jedan od ranjivih modela, DCS-5605 / DCS-5635, ima značajku otkrivanja pokreta, koju D-Link predlaže u svojim marketinškim materijalima, dobar za banke, bolnice i urede.

Osnovni sigurnosni istraživači ustanovili su da je omogućen pristup bez autentifikacije žive video stream putem RTSP protokola (real time streaming protocol), kao i ASCII izlaz video struje u zahvaćenim modelima. RTSP je protokol aplikacijske razine za prijenos podataka u stvarnom vremenu, prema Internet Engineering Task Force.

Istraživači su također našli problem s upravljačkom pločom na webu koja bi omogućila hakeru da unese proizvoljne naredbe. U drugoj pogrešci, D-Linkovi hard-kodirani login credentials u firmware koji "učinkovito služi kao backdoor, što omogućava udaljenim napadačima pristup RTSP video stream," Core Security, rekao je u svojoj savjetodavnoj.

Tehnički detalji su opisani u postu u sekciji Full Disclosure Seclists.org, zajedno s popisom poznatih pogođenih proizvoda, od kojih su neki bili uklonjeni iz D-Linka.

Osnovna sigurnost obavijestila je D-Link o problemu 29. ožujka, navodi se u dnevniku interakcije dvaju tvrtki uključenih u objavljivanje na Full Disclosure. Zapisnik, kojeg je napisao Core, sadrži zanimljive pojedinosti o tome kako su dvije tvrtke odgovarale i očigledno su imale nekoliko neslaganja. Prema Coreu, D-Link je rekao da je imao "neobjavljeni program opskrbe sigurnosnim dobavljačima". Mnoge tvrtke imaju bugove programe koji nagovaraju istraživače s gotovinom ili drugim poticajima za pronalaženje sigurnosnih problema u njihovim proizvodima i informiranju ih prije objavljivanja pojedinosti.

Oko 20. ožujka D-Link je zatražio da Core Security potpiše "dopis razumijevanja" kao dio programa koji Core odbacuje. Uvjeti dopisa nisu opisani. Core je izjavio za D-Link da "primanje novca od dobavljača može odoljeti pogledu na izvješće."

Dvije tvrtke imale su još jednu malu prijavu. D-Link je rekao Coreu da će objaviti zakrpe i smjernice za rješavanje problema na forumu za podršku D-Link. D-Link će tada čekati mjesec dana prije javnog objavljivanja.

Core Security nije se svidio takvom prijedlogu. Zadnja srijeda, Core je zatražila D-Link "za pojašnjenje glede datuma objavljivanja D-Linka i obavještava da je neprihvatljivo objavljivanje popravaka u privilegiranoj zatvorenoj grupi i / ili zatvorenom forumu ili popisu."

D-Linkov forum ima polje za prijavu, ali čini se da svatko može vidjeti mnoge postove bez registracije. D-Link se vratio dan kasnije i rekao da su zakrpe spremne i da će biti objavljene na svojim web stranicama "sljedećih nekoliko dana", napisao je Core.

D-Link nije odmah odgovorio na zahtjeve za komentarom. Nije bilo jasno od foruma za podršku tvrtke ako su ažuriranja firmvera već javno objavljena.

Core Security dodijelio je svojim istraživačima Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria i Fernandu Miranda pronalaženje problema. >