Популярный производитель тепловизоров полгода игнорирует информацию о бэкдорах

Дыры в тепловизорах Эксперт по информационной безопасности компании Zero ScienceLabs Гёко Крстич (Gjoko Krstic),обнаружил, что несколько моделей камер-тепловизоров производства одного излидеров этого рынка FLIR Systems, содержат в своей программной оболочкенесколько жестко запрограммированных комбинаций логинов-паролей, которыеневозможно устранить. Кроме них программные оболочки содержат целый ряд уязвимостей,в том числе, критических. Бэкдоры присутствуют всериях камер FC-Series S (FC-334-NTSC), FC-SeriesID, FC-Series R, PT-Series (PT-334 200562), D-Series, F-Series. Протестированыбыли камеры с версией прошивки 8.0.0.64 и версией сопутствующего ПО 10.0.2.43. В зависимости от модели, доступ к их внутренним настройкампозволяют получить комбинации логинов и паролей вида: root:indigo, root:video, default:video, ftp:video. С одной модельюдостаточно логина «default», пароль не требуется вовсе. http://filearchive.cnews.ru/img/news/2017/10/12/thermalcamera600.jpg"> В прошивке популярных тепловизоров FLIR обнаружились закодированные логины и пароли Отметим, что тепловизоры перечисленных серий весьма активнопродаются в России. По сути они представляют собой обычные IP-камеры свозможностью функционировать в режиме тепловизоров. [b]Бэкдором дело неограничивается[/b] Крстич также указывает, что прошивки камер содержит и другие«баги»: злоумышленники могут получить доступ к стриму камеры без прохожденияавторизации, возможности запуска вредоносного кода с последующим получениемroot-привилегий, возможности инъекции команд на root-уровне со стороныпользователей, которые не обладают администраторскими привилегиями. Кроме того,злоумышленники обладают возможностью получать доступ к некоторым файлам камерыи считывать данные с других локальных ресурсов. [b]Виновник бездействует[/b] Производитель камер пока выпустил исправление только для «бага»,связанного с инъекцией команд. На остальные сообщения эксперта он так и неотреагировал, несмотря на то, что первое обращение было датировано еще мартом 2017г. Отметим, что при этом Крстич опубликовал не толькоинформацию об уязвимостях, но и демонстрационный код для их эксплуатации. [b]Просто забыли[/b] Крстич отметил, что защититься от перечисленных уязвимостейв меру просто: достаточно поместить камеру за надежный фаерволл. «По всей видимости, разработчики прошивок для этих камерпросто забыли убрать жестко запрограммированные логины и пароли, использовавшиесяими в процессе отладки программной оболочки, — считает [b]Роман Гинятуллин[/b], эксперт по информационной безопасности компании SEC Consult Services. — К сожалению, этоочередная демонстрация того, что производители устройств интернета вещей неуделяют должного внимания даже самым базовым вопросам безопасности своихустройств. И это притом, что сегодня защищенность IoT-устройств является одной из самыхострых проблем информационной безопасности в целом».[img]http://filearchive.cnews.ru/img/news/2017/10/12/thermalcamera600.jpg"> В прошивке популярных тепловизоров FLIR обнаружились закодированные логины и пароли Отметим, что тепловизоры перечисленных серий весьма активнопродаются в России. По сути они представляют собой обычные IP-камеры свозможностью функционировать в режиме тепловизоров. Бэкдором дело неограничивается Крстич также указывает, что прошивки камер содержит и другие«баги»: злоумышленники могут получить доступ к стриму камеры без прохожденияавторизации, возможности запуска вредоносного кода с последующим получениемroot-привилегий, возможности инъекции команд на root-уровне со стороныпользователей, которые не обладают администраторскими привилегиями. Кроме того,злоумышленники обладают возможностью получать доступ к некоторым файлам камерыи считывать данные с других локальных ресурсов. Виновник бездействует Производитель камер пока выпустил исправление только для «бага»,связанного с инъекцией команд. На остальные сообщения эксперта он так и неотреагировал, несмотря на то, что первое обращение было датировано еще мартом 2017г. Отметим, что при этом Крстич опубликовал не толькоинформацию об уязвимостях, но и демонстрационный код для их эксплуатации. Просто забыли Крстич отметил, что защититься от перечисленных уязвимостейв меру просто: достаточно поместить камеру за надежный фаерволл. «По всей видимости, разработчики прошивок для этих камерпросто забыли убрать жестко запрограммированные логины и пароли, использовавшиесяими в процессе отладки программной оболочки, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — К сожалению, этоочередная демонстрация того, что производители устройств интернета вещей неуделяют должного внимания даже самым базовым вопросам безопасности своихустройств. И это притом, что сегодня защищенность IoT-устройств является одной из самыхострых проблем информационной безопасности в целом».