Не проходит и недели, чтобы ИБ-эксперты не обнаружили новую партию уязвимых IoT-девайсов. Именно «благодаря» интернету вещей и его проблемам с безопасностью стало возможно появление таких угроз, как Mirai, и мощных атак, за которые ответственна подобная малварь.
На этой неделе исследователи выявили сразу ряд проблем: уязвимости нашли в DVR и камерах наблюдения китайской компании Dahua, а также в камерах 354 других производителей, которые комплектуют свои гаджеты «дырявым» веб-сервером.
Dahua
Проблему в IP-камерах и DVR-устройствах китайского производителя Dahua заметил исследователь, известный под именем Bashis. Он обнаружил, что устройства хранят настройки веб-сервера в доступном для всех желающих месте. То есть получить доступ к файлу конфигурации, в котором содержатся данные обо всех аккаунтах, мог любой, кому известен IP-адрес устройства. Замечу, что узнать адрес и найти подобные девайсы, можно без особо труда, используя хотя бы тот же Shoudan,
Bashis опубликовал отчет о проблеме, а также обнародовал на GitHub proof-of-concept эксплоит, позволяющий автоматизировать атаки на устройства Dahua. Представители компании поспешили связаться с исследователем и попросили его убрать эксплоит из свободного доступа, дав пользователям возможность спокойно обновить свои устройства. Одновременно с этим производитель выпустил новую версию прошивки, которая устранила обнаруженную исследователем проблему. Bashis пошел навстречу компании, так что PoC-эксплоит был изъят с GitHub и будет повторно опубликован 5 апреля 2017 года.
GoAhead
Более глобальную проблему обнаружил исследователь Пирри Ким (Pierre Kim). Ким пишет, что свыше 1200 моделей IP-камер 354 разных производителей содержат опасную уязвимость во встроенном веб-сервере. Исследователь рассказал, что проблема кроется в самом административном интерфейсе устройств Wireless IP Camera (P2P) WIFICAM, так как OEM-производители используют кастомную и уязвимую версию веб-сервера GoAhead, плюс прошивки открывают возможность небезопасного подключения к бэкэнду. Причем на базе девайса Wireless IP Camera (P2P) WIFICAM построены более 1200 моделей камер.
По данным исследователя, через Shodan можно обнаружить более 185 000 уязвимых Wi-Fi камер, которые только и ждут, когда кто-нибудь сделает их частью очередного ботнета. В списке проблемных устройств, который исследователь приводит на страницах своего блога, числятся камеры таких известных производителей, как 3Com, D-Link, Akai, Axis, Kogan, Logitech, Mediatech, Panasonic, Polaroid и Secam.
Изначально Ким полагал, что уязвимость кроется в веб-сервере GoAhead компании Embedthis Software. Однако разработчики Embedthis Software опровергли данную теорию, и исследователь признал, что сам по себе GoAhead неопасен, опасны его модификации, созданные китайскими производителями.
Хотя написание полноценного proof-of-concept эксплоита Ким оставил другим, подробной информации о проблеме, опубликованной в его блоге, для этого вполне хватит. В силу того, что уязвимых устройств и производителей очень много, исследователь не стал пытаться связываться с каждым из них по отдельности, вместо этого он публично раскрыл все детали проблемы, надеясь привлечь внимание вендоров. Пользователям уязвимых камер Ким рекомендует немедленно отключить устройства от интернета.
В телеграм-каналах начала расходиться информация о том, что Роскомнадзор якобы решил постепенно блокировать мессенджер MAX из-за активности мошенников. В постах даже приводили якобы цитату ведомства о том, что «безопасность россиян превыше всего», а сам мессенджер называли «рассадником мошенничества и порнографии».
Как выяснилось, скриншот, который активно распространяли в соцсетях и Telegram, был связан с публикацией «Баймакского вестника».
В ней со ссылкой на заявление замначальника полиции Екатеринбурга Андрея Ершова действительно говорилось, что мошенники начали осваивать и MAX. Но ни о какой блокировке или замедлении работы мессенджера речи там не было.
На официальных ресурсах Роскомнадзора подобных заявлений также нет. Не публиковали такую информацию и СМИ.
Наоборот, 18 марта MAX получил статус социальной сети. Это означает, что теперь каналы с аудиторией более 10 тысяч подписчиков должны проходить регистрацию через специальный бот.
Таким образом, сообщения о том, что Роскомнадзор начал готовить блокировку MAX, оказались фейком. Судя по всему, реальную новость о появлении мошенников в новом канале связи просто дополнили вымышленными деталями и в таком виде она быстро разошлась по Telegram.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
