WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Phát hiện backdoor trong nhiều camera an ninh của Sony
Sony vừa phát hành bản cập nhật firmware cho nhiều camera an ninh của mình, giải quyết một lỗ hổng nghiêm trọng có thể bị khai thác để kiểm soát thiết bị, bao gồm cả việc bị kiểm soát bởi các botnet như Mirai.
Lỗ hổng này, do SEC Consult phát hiện, ảnh hưởng đến 80 loại camera IP loạt SNC của Sony với hệ thống xử lý tín hiệu IPELA ENGINE. Những sản phẩm chuyên nghiệp này được nhiều tổ chức trên toàn thế giới sử dụng, bao gồm cả FIFA tại World Cup 2014.
Phân tích cho thấy firmware cho camere IP IPELA ENGINE của Sony chứa các hash mật khẩu được hardcode dành cho admin và người sử dụng gốc. Các nhà nghiên cứu chỉ lấy được mật khẩu quản trị, nhưng tin rằng có thể dễ dàng thu được mật khẩu gốc.
Các nhà nghiên cứu cũng phát hiện ra CGI (prima-factory.cgi) cho phép người dùng từ xa kích hoạt dịch vụ Telnet trên một thiết bị bằng cách gửi cho thiết bị một yêu cầu HTTP đặc biệt. Yêu cầu cần bao gồm dữ liệu xác thực, nhưng tên người dùng và mật khẩu (primana/primana) có thể được tìm thấy ở dạng plain text trong một tập tin.
Kẻ tấn công có thể sử dụng các thông tin này để gửi yêu cầu đến prima-factory.cgi và kích hoạt dịch vụ Telnet, sau đó lợi dụng tài khoản root để truy cập từ xa với đặc quyền leo thang.
Theo SEC Consult, tài khoản người dùng "primana", rõ ràng là một backdoor, dường như được Sony cố tính đưa vào để kiểm tra thiết bị. Các nhà nghiên cứu cũng phát hiện một tài khoản tương tự có tên "debug" với mật khẩu "popeyeConnection", nhưng vẫn chưa phân tích chức năng của tài khoản này.
Một khi giành được quyền truy cập root vào thiết bị, kẻ tấn công có thể thực hiện nhiều hành động khác nhau, như gián đoạn chức năng của camera, theo dõi người sử dụng, thao tác các video, xâm phạm mạng có camera kết nối và lây nhiễm mã độc Mirai.
Lỗ hổng có thể bị kẻ tấn công khai thác qua truy cập vào mạng hoặc qua Internet nếu giao diện web của camera bị tiết lộ. Tìm kiếm trực tuyến cho thấy khoảng 4.000 camera có thể truy cập từ Internet, trong đó có nhiều camera ở Mỹ và Đức, nhưng các nhà nghiên cứu tin rằng con số thực tế có thể cao hơn nhiều.
Sony đã được thông báo về lỗ hổng này vào ngày 11/10 và phát hành bản cập nhật firmware - phiên bản 1.86.00 và 2.7.2 - vào ngày 28/11. Sony từ chối cung cấp bất kỳ thông tin chi tiết về vai trò của backdoor.
SEC Consult đã liên lạc với đội CERT tại Đức và Áo, và FIRST, để thông báo cho các tổ chức chính phủ và các tổ chức hạ tầng quan trọng có thể sử dụng sản phẩm có lỗ hổng.
Theo SecurityWeek
Lỗ hổng này, do SEC Consult phát hiện, ảnh hưởng đến 80 loại camera IP loạt SNC của Sony với hệ thống xử lý tín hiệu IPELA ENGINE. Những sản phẩm chuyên nghiệp này được nhiều tổ chức trên toàn thế giới sử dụng, bao gồm cả FIFA tại World Cup 2014.
Phân tích cho thấy firmware cho camere IP IPELA ENGINE của Sony chứa các hash mật khẩu được hardcode dành cho admin và người sử dụng gốc. Các nhà nghiên cứu chỉ lấy được mật khẩu quản trị, nhưng tin rằng có thể dễ dàng thu được mật khẩu gốc.
Các nhà nghiên cứu cũng phát hiện ra CGI (prima-factory.cgi) cho phép người dùng từ xa kích hoạt dịch vụ Telnet trên một thiết bị bằng cách gửi cho thiết bị một yêu cầu HTTP đặc biệt. Yêu cầu cần bao gồm dữ liệu xác thực, nhưng tên người dùng và mật khẩu (primana/primana) có thể được tìm thấy ở dạng plain text trong một tập tin.
Kẻ tấn công có thể sử dụng các thông tin này để gửi yêu cầu đến prima-factory.cgi và kích hoạt dịch vụ Telnet, sau đó lợi dụng tài khoản root để truy cập từ xa với đặc quyền leo thang.
Theo SEC Consult, tài khoản người dùng "primana", rõ ràng là một backdoor, dường như được Sony cố tính đưa vào để kiểm tra thiết bị. Các nhà nghiên cứu cũng phát hiện một tài khoản tương tự có tên "debug" với mật khẩu "popeyeConnection", nhưng vẫn chưa phân tích chức năng của tài khoản này.
Một khi giành được quyền truy cập root vào thiết bị, kẻ tấn công có thể thực hiện nhiều hành động khác nhau, như gián đoạn chức năng của camera, theo dõi người sử dụng, thao tác các video, xâm phạm mạng có camera kết nối và lây nhiễm mã độc Mirai.
Lỗ hổng có thể bị kẻ tấn công khai thác qua truy cập vào mạng hoặc qua Internet nếu giao diện web của camera bị tiết lộ. Tìm kiếm trực tuyến cho thấy khoảng 4.000 camera có thể truy cập từ Internet, trong đó có nhiều camera ở Mỹ và Đức, nhưng các nhà nghiên cứu tin rằng con số thực tế có thể cao hơn nhiều.
Sony đã được thông báo về lỗ hổng này vào ngày 11/10 và phát hành bản cập nhật firmware - phiên bản 1.86.00 và 2.7.2 - vào ngày 28/11. Sony từ chối cung cấp bất kỳ thông tin chi tiết về vai trò của backdoor.
SEC Consult đã liên lạc với đội CERT tại Đức và Áo, và FIRST, để thông báo cho các tổ chức chính phủ và các tổ chức hạ tầng quan trọng có thể sử dụng sản phẩm có lỗ hổng.
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: