Популярный производитель тепловизоров полгода игнорирует информацию о бэкдорах


Дыры в тепловизорах

Эксперт по информационной безопасности компании Zero ScienceLabs Гёко Крстич (Gjoko Krstic),обнаружил, что несколько моделей камер-тепловизоров производства одного излидеров этого рынка FLIR Systems, содержат в своей программной оболочкенесколько жестко

запрограммированных комбинаций логинов-паролей, которыеневозможно устранить. Кроме них программные оболочки содержат целый ряд уязвимостей,в том числе, критических.

Бэкдоры присутствуют всериях камер FC-Series S (FC-334-NTSC), FC-SeriesID, FC-Series R, PT-Series (PT-334 200562), D-Series, F-Series. Протестированыбыли камеры с версией прошивки 8.0.0.64 и версией сопутствующего ПО 10.0.2.43.

В зависимости от модели, доступ к их внутренним настройкампозволяют получить комбинации логинов и паролей вида: root:indigo, root:video, default:video, ftp:video. С одной модельюдостаточно логина «default», пароль не требуется вовсе.

В прошивке популярных тепловизоров FLIR обнаружились закодированные логины и пароли

Отметим, что тепловизоры перечисленных серий весьма активнопродаются в России. По сути они представляют собой обычные IP-камеры свозможностью функционировать в режиме тепловизоров.

Бэкдором дело неограничивается

Крстич также указывает, что прошивки камер содержит и другие«баги»: злоумышленники могут получить доступ к стриму камеры без прохожденияавторизации, возможности запуска вредоносного кода с последующим получениемroot-привилегий, возможности инъекции команд на root-уровне со стороныпользователей, которые не обладают администраторскими привилегиями. Кроме того,злоумышленники обладают возможностью получать доступ к некоторым файлам камерыи считывать данные с других локальных ресурсов.

Виновник бездействует

Производитель камер пока выпустил исправление только для «бага»,связанного с инъекцией команд. На остальные сообщения эксперта он так и неотреагировал, несмотря на то, что первое обращение было датировано еще мартом 2017г.

Отметим, что при этом Крстич опубликовал не толькоинформацию об уязвимостях, но и демонстрационный код для их эксплуатации.

Просто забыли

Крстич отметил, что защититься от перечисленных уязвимостейв меру просто: достаточно поместить камеру за надежный фаерволл.

«По всей видимости, разработчики прошивок для этих камерпросто забыли убрать жестко запрограммированные логины и пароли, использовавшиесяими в процессе отладки программной оболочки, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — К сожалению, этоочередная демонстрация того, что производители устройств интернета вещей неуделяют должного внимания даже самым базовым вопросам безопасности своихустройств. И это притом, что сегодня защищенность IoT-устройств является одной из самыхострых проблем информационной безопасности в целом».

Калькулятор расчета пеноблоков смотрите на этом ресурсе
Все о каркасном доме можно найти здесь http://stroidom-shop.ru
Как снять комнату в коммунальной квартире смотрите тут comintour.net

Мы соц. сетях

View kondrashov’s profile on slideshare
Т Е Л Е Г Р А М
 

Hi-Tech Лентач

Наши обзоры

Различные обзоры рынков

  • Crunchbase: к 2017 году Штаты перестали инвестировать в стартапы из РФ, а россияне в американские не перестали → Roem.ru +

    Crunchbase: к 2017 году Штаты перестали инвестировать в стартапы из РФ, а россияне в американские не перестали → Roem.ru Ещё 5 лет назад американские фонды инвестировали в российские стартапы Подробнее
  • Объём рынка рекламы в России претендует на пятое место в Европе +

    9 Ноябрь 2017 Комиссия экспертов Ассоциации Коммуникационных Агентств России подвела Подробнее
  • Презентации по потребительскому рынку с конференции GFK 2017 +

    Материалы с конференции GFK 2017. Они все лежат облаке по Подробнее
  • 1
  • 2
  • 3

Рынок в графиках

×
Читай избранные материалы без рекламы на каналах:
×
Все новости раз в день у Вас на почте:

Введи Ваш E-Mail