Популярный производитель тепловизоров полгода игнорирует информацию о бэкдорах


Дыры в тепловизорах

Эксперт по информационной безопасности компании Zero ScienceLabs Гёко Крстич (Gjoko Krstic),обнаружил, что несколько моделей камер-тепловизоров производства одного излидеров этого рынка FLIR Systems, содержат в своей программной оболочкенесколько жестко

запрограммированных комбинаций логинов-паролей, которыеневозможно устранить. Кроме них программные оболочки содержат целый ряд уязвимостей,в том числе, критических.

Бэкдоры присутствуют всериях камер FC-Series S (FC-334-NTSC), FC-SeriesID, FC-Series R, PT-Series (PT-334 200562), D-Series, F-Series. Протестированыбыли камеры с версией прошивки 8.0.0.64 и версией сопутствующего ПО 10.0.2.43.

В зависимости от модели, доступ к их внутренним настройкампозволяют получить комбинации логинов и паролей вида: root:indigo, root:video, default:video, ftp:video. С одной модельюдостаточно логина «default», пароль не требуется вовсе.

В прошивке популярных тепловизоров FLIR обнаружились закодированные логины и пароли

Отметим, что тепловизоры перечисленных серий весьма активнопродаются в России. По сути они представляют собой обычные IP-камеры свозможностью функционировать в режиме тепловизоров.

Бэкдором дело неограничивается

Крстич также указывает, что прошивки камер содержит и другие«баги»: злоумышленники могут получить доступ к стриму камеры без прохожденияавторизации, возможности запуска вредоносного кода с последующим получениемroot-привилегий, возможности инъекции команд на root-уровне со стороныпользователей, которые не обладают администраторскими привилегиями. Кроме того,злоумышленники обладают возможностью получать доступ к некоторым файлам камерыи считывать данные с других локальных ресурсов.

Виновник бездействует

Производитель камер пока выпустил исправление только для «бага»,связанного с инъекцией команд. На остальные сообщения эксперта он так и неотреагировал, несмотря на то, что первое обращение было датировано еще мартом 2017г.

Отметим, что при этом Крстич опубликовал не толькоинформацию об уязвимостях, но и демонстрационный код для их эксплуатации.

Просто забыли

Крстич отметил, что защититься от перечисленных уязвимостейв меру просто: достаточно поместить камеру за надежный фаерволл.

«По всей видимости, разработчики прошивок для этих камерпросто забыли убрать жестко запрограммированные логины и пароли, использовавшиесяими в процессе отладки программной оболочки, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — К сожалению, этоочередная демонстрация того, что производители устройств интернета вещей неуделяют должного внимания даже самым базовым вопросам безопасности своихустройств. И это притом, что сегодня защищенность IoT-устройств является одной из самыхострых проблем информационной безопасности в целом».

Калькулятор расчета пеноблоков смотрите на этом ресурсе
Все о каркасном доме можно найти здесь http://stroidom-shop.ru
Как снять комнату в коммунальной квартире смотрите тут comintour.net

Мы соц. сетях

View kondrashov’s profile on slideshare
Т Е Л Е Г Р А М
 

Hi-Tech Лентач

Наши обзоры

Различные обзоры рынков

  • Презентации по потребительскому рынку с конференции GFK 2017 +

    Материалы с конференции GFK 2017. Они все лежат облаке по Подробнее
  • Отчет Евросети по продажи потребительской электроники за 3 кв. 2017 +

    https://www.dropbox.com/s/jikml5p59e0tnak/%D0%9E%D1%87%D0%B5%D1%82%20%D0%95%D0%B2%D1%80%D0%BE%D1%81%D0%B5%D1%82%D0%B8%20%D0%B7%D0%B0%209%20%D0%BC%D0%B5%D1%81%202017.pdf?dl=0 Подробнее
  • Итоги работы отрасли Связь в 1 пол. 2017 года +

    Минкомсвязи подвел итоги работы отрасли Связь за 1 полугодие 2017 Подробнее
  • 1
  • 2
  • 3

Рынок в графиках

×
Читай избранные материалы без рекламы на каналах:
×
Все новости раз в день у Вас на почте:

Введи Ваш E-Mail