E安全6月9日訊 F-Secure公司發現我國廠商福斯康姆公司(Foscam)的多款IP攝像機產品中曝出高達18項安全性漏洞。 這些安全性漏洞早在數個月之前即被報告至廠商處, 但截至目前仍無任何修復方案發佈。
福斯康姆(FOSCAM)集團是一家專注於設計、研發、製造及銷售網路攝像機、網路視頻錄影機等產品的高新技術企業。 其實行全球化經營戰略, 行銷服務網路遍及世界各地, 在全球29個國家和地區註冊了商標, 在北美、南美、歐洲、澳洲、東南亞、印度等80多個國家和地區佔有一定市場份額。
本文系E安全獨家編譯報導
漏洞影響多品牌攝像頭
F-Secure公司強調, 此次發現的18項漏洞最初源自Opticam i5與Foscam C2攝像機。
這些安全性漏洞當中包含非安全預設憑證、硬編碼憑證、隱藏與未記錄遠端登入功能、命令注入缺陷、缺少授權、不正確存取控制、跨網站腳本以及緩衝區溢位等等。 這一切都在F-Secure公司於今天發佈的報告(PDF格式)當中進行了詳盡說明。
F-Secure公司公司網路安全專家珍尼-庫漢寧(Janne Kauhanen)表示, “這些產品在設計當中忽視了安全性保障要求。 開發人員的主要關注重點在於確保產品正常運行並儘快將其售出, 嚴重忽視安全問題導致使用者及其網路很可能因此面臨風險。 而更為諷刺的是, 這種設備通常作為提升物理環境安全水準的方案進行銷售, 但很明顯使用這些產品將嚴重影響到虛擬環境的安全狀況。 ”並警告稱, 這些安全性漏洞同樣有可能存在於Foscam的其它產品線當中。
據悉, 目前共有14種獨立品牌實際上也是在銷售福斯康姆公司製造的攝像頭, 即Foscam公司的攝像機以多種品牌名稱進行銷售, 其中包括:
Chacon、Thomson、7links、Opticam、Netis、Turbox、、Novodio、Ambientcam、Nexxt、Technaxx、Qcam、Ivue、Ebode、Sab。
建議使用者檢查來自該製造商的全部IP攝像機。
漏洞利用實例
人們對遠端設備安全性(特別是攝像機)的關注, 自於Mirai僵屍網路以及有史以來針對互聯網基礎設施的規模最大DDoS攻擊活動以來有所加強, 但Foscam產品中暴露的安全性漏洞在數量與嚴重程度上顯然證明安保之路還很漫長。
F-Seucre公司高級安全顧問哈利·辛東寧(Harry Sintonen)評論認為, 這些安全性漏洞允許攻擊者實現能夠想到的幾乎一切攻擊活動。 惡意人士可以對其進行逐個利用或者混合匹配, 從而在設備及網路當中獲取更高許可權。 ”
F-Secure公司還針對這些產品提供了幾項示例性攻擊。 例如:
未經身份驗證但能夠訪問特定埠的用戶, 將可以利用命令注入向設備當中添加新的root使用者, 從而啟用標準遠端登入服務(Telnet)。
F-Secure公司在報告中解釋稱, FTP使用者帳戶上的空密碼可用於實現登錄。 此後, 攻擊者將能夠啟動隱藏的Telnet功能, 借此訪問負責控制引導時自動啟動的具體程式的非受限全域可寫檔, 最終將任意程式添加至這份清單當中。 通過這種方式, 攻擊者將能夠實現長期訪問, 並在設備重啟後仍可快速恢復入侵能力。
漏洞進展
顯然, 相關修復責任應該由製造商來承擔, 鑒於Foscam公司尚未提供任何修復程式, 而且Foscam IP攝像機仍採用硬編碼憑證, 攻擊者能夠輕鬆繞過各類後設置憑證, 也就是說更改預設密碼已經不能夠起到抵禦攻擊者的作用了。
E安全建議用戶將此類攝像機安裝在私人網路絡或者VLAN之內, 其他建議包括使用“真正隨機的預設管理密碼”並將密碼內容貼在設備底部;刪除內置憑證並採用適當的iptables防火牆。
總之, F-Secure公司建議該供應商在產品生命週期中適當引入安全流程, 在設計之初就充分考慮其安全性需求。 為安全需求投入必要資源正是實現競爭優勢的一項重要途徑。 另外, 對監管要求下的安全設計實踐確實落實執行, 亦能有助於供應商在市場當中佔據有利位置。
E安全注:
@E安全, 最專業的前沿網路安全媒體和產業服務平臺, 每日提供優質全球網路安全資訊與深度思考。