9 миллионов готовых для любой атаки киберсолдат: познакомьтесь с самым беспечным производителем электроники в мире

Опубликовано at 12:53
29 0

Эксперты по кибербезопасности из SEC Consult обнаружили неожиданно крупную рыбу. Речь идет об устройствах Hangzhou Xiongmai Technology, выпускаемых под различными торговыми марками — это более 9 млн IP-камер, цифровых и сетевых видеорегистраторов, которые не защищены вообще никак. То есть совсем.

Во всех этих видеокамерах есть уязвимости, с помощью которых злоумышленники могут с легкостью перехватить контроль над устройством и выполнять различные действия, например, следить и взаимодействовать с жертвами, использовать их для проникновения в корпоративные сети или включить в состав ботнетов. Кстати, в составе ботнетов (например легендарного Mirai) такие устройства уже обнаруживали — но никому и в голову не могло прийти, что проблема носит настолько абсурдный и массовый характер.

Поскольку Hangzhou Xiongmai Technology не выпускает продукцию под своей маркой, распространяя ее по модели «White label», пользователям довольно сложно идентифицировать уязвимые видеорегистраторы и камеры видеонаблюдения. Согласно данным специалистов SEC Consult, продукцию Hangzhou Xiongmai под своим брендом выпускают более сотни компаний. Все они, однако, одинаково уязвимы в связи с функцией XMEye P2P Cloud, позволяющей получать доступ к облачному аккаунту XMEye через браузер или мобильное приложение.

Любой хакер может легко угадать идентификатор аккаунта, поскольку он основан на MAC-адресе устройства. А еще все новые учетные записи используют логин «admin» без пароля. Даже если пользователь изменит логин и пароль, существует служебный вход, использующий комбинацию «default/tluafed».

Также компания не подписывает обновления прошивки, предоставляя злоумышленникам бесконечные возможности компрометации устройств путем заливания на них вредоносов вместо обновлений. Согласно результатам сканирования незабвенного хакерского поисковика Shodan, в настоящее время в Сети доступно по меньшей мере 9 млн устройств, произведенных Xiongmai (неплохую можно собрать армию, и направить все еще мощности, например, на какую-нибудь ТЭЦ или дата-центр?). Камеры продаются под разными торговыми марками, однако пользователи могут определить продукцию Xiongmai по характерной странице авторизации на панели управления, странице сообщения об ошибке (http://[device_IP]/err.htm) или по описанию продукта (если в нем есть упоминание XMEye, значит, это устройство Xiongmai).

А вот он расстрельный список, перечень вендоров, реализующих устройства Xiongmai под своим брендом: 9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision/sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo и ZRHUNTER

Подписываемся, следим @CyberAgency

Related Post

Двадцать лиц в секунду. Камеры в метро начали распознавать пасажиров

Опубликовано - 18.04.2018 0
В канун ЧМ-2018 в московском метрополитене запустили систему распознавания лиц через камеры. Система действует на станциях с большим пассажиропотоком. Места…

Ошибка «резидента». МВД вылечит бестелесность дубиной

Опубликовано - 05.01.2018 0
Министерство внутренних дел РФ снова планирует ужесточить уголовную ответственность за хищения электронных денег. Такие планы на 2018 год представитель министерства…

Добавить комментарий