Goodnews.ua


Популярный производитель тепловизоров полгода игнорирует информацию о бэкдорах

Октябрь 13
17:31 2017

Популярный производитель тепловизоров полгода игнорирует информацию о бэкдорах

Программные оболочки нескольких моделей тепловизоров компании FLIR Systems содержат неустранимые бэкдоры. Эксперт по безопасности, обнаруживший этот недочет, сообщил о нем производителю камер, однако ответа так и не последовало.

Дыры в тепловизорах
Эксперт по информационной безопасности компании Zero Science Labs Гёко Крстич (Gjoko Krstic), обнаружил, что несколько моделей камер-тепловизоров производства одного из лидеров этого рынка FLIR Systems, содержат в своей программной оболочке несколько жестко запрограммированных комбинаций логинов-паролей, которые невозможно устранить. Кроме них программные оболочки содержат целый ряд уязвимостей, в том числе, критических.
Бэкдоры присутствуют в сериях камер FC-Series S (FC-334-NTSC), FC-Series ID, FC-Series R, PT-Series (PT-334 200562), D-Series, F-Series. Протестированы были камеры с версией прошивки 8.0.0.64 и версией сопутствующего ПО 10.0.2.43.
В зависимости от модели, доступ к их внутренним настройкам позволяют получить комбинации логинов и паролей вида: root:indigo, root:video, default:video, ftp:video. С одной моделью достаточно логина «default», пароль не требуется вовсе.

Бэкдором дело не ограничивается
Крстич также указывает, что прошивки камер содержит и другие «баги»: злоумышленники могут получить доступ к стриму камеры без прохождения авторизации, возможности запуска вредоносного кода с последующим получением root-привилегий, возможности инъекции команд на root-уровне со стороны пользователей, которые не обладают администраторскими привилегиями. Кроме того, злоумышленники обладают возможностью получать доступ к некоторым файлам камеры и считывать данные с других локальных ресурсов.
Виновник бездействует
Производитель камер пока выпустил исправление только для «бага», связанного с инъекцией команд. На остальные сообщения эксперта он так и не отреагировал, несмотря на то, что первое обращение было датировано еще мартом 2017 г.
Отметим, что при этом Крстич опубликовал не только информацию об уязвимостях, но и демонстрационный код для их эксплуатации.
Просто забыли
Крстич отметил, что защититься от перечисленных уязвимостей в меру просто: достаточно поместить камеру за надежный фаерволл.
«По всей видимости, разработчики прошивок для этих камер просто забыли убрать жестко запрограммированные логины и пароли, использовавшиеся ими в процессе отладки программной оболочки, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — К сожалению, это очередная демонстрация того, что производители устройств интернета вещей не уделяют должного внимания даже самым базовым вопросам безопасности своих устройств. И это притом, что сегодня защищенность IoT-устройств является одной из самых острых проблем информационной безопасности в целом».

Источник: cnews.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Барселона в сумасшедшем матче победила Боруссию Д, Милан чуть не опозорился, Арсенал легко победил

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua