Более 9 млн IP-камер, цифровых и сетевых видеорегистраторов содержат уязвимости, с помощью которых злоумышленники могут с легкостью перехватить контроль над устройством и выполнять различные действия, например, следить и взаимодействовать с жертвами, использовать их для проникновения в корпоративные сети или включить в состав ботнетов.
Речь идет о гаджетах, изготовленных китайской компанией Hangzhou Xiongmai Technology. Поскольку производитель не выпускает продукцию под своей маркой, распространяя ее по модели «White label», пользователям довольно сложно идентифицировать уязвимые видеорегистраторы и камеры видеонаблюдения. Согласно данным специалистов SEC Consult, продукцию Hangzhou Xiongmai под своим брендом выпускают более сотни компаний.
Все уязвимости связаны с функцией XMEye P2P Cloud, позволяющей получать доступ к облачному аккаунту XMEye через браузер или мобильное приложение. Проблема заключается в том, что учетные записи недостаточно защищены. К примеру, злоумышленники могут легко угадать идентификатор аккаунта, поскольку он основан на MAC-адресе устройства. Во-вторых, все новые учетные записи используют логин «admin» без пароля. Более того, даже если пользователь изменит логин и пароль, существует скрытый аккаунт, использующий комбинацию «default/tluafed».
Компания не подписывает обновления прошивки, предоставляя злоумышленникам еще одну возможность компрометации устройств. С помощью учетной записи XMEye атакующий может инициировать процесс обновления прошивки и установить на устройство вредоносную версию.
В прошлом устройства Xiongmai уже были замечены в составе различных IoT-ботнетов, в том числе печальноизвестного Mirai. Тогда производитель пообещал уделить больше внимания безопасности и отозвать все проблемные гаджеты, однако многие уязвимости по-прежнему остаются неисправленными, в том числе те, о которых компании сообщили эксперты SEC Consult в марте 2018 года.
Согласно результатам сканирования, в настоящее время в Сети доступно по меньшей мере 9 млн устройств, произведенных Xiongmai. Как уже упоминалось, гаджеты продаются под разными торговыми марками, однако пользователи могут определить продукцию Xiongmai по странице авторизации на панели управления (изображение ниже), странице сообщения об ошибке (http://[device_IP]/err.htm) или по описанию продукта (если в нем есть упоминание XMEye, значит, это устройство Xiongmai).
Список вендоров, реализующих устройства Xiongmai под своим брендом: 9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision/sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo и ZRHUNTER
White label (Белая этикетка) — концепция, предусматривающая производство немарочных продуктов или услуг одной компанией и использование таких продуктов или услуг другой компанией под своим брендом (маркой).
Источник: securitylab.ru
