F-Secure ontdekt kwetsbaarheden in populaire Foscam IP-camera’s
F-Secure ontdekte 18 kwetsbaarheden in twee IP-camera’s van het merk Foscam, wat deze apparaten gevoelig maakt voor cyberaanvallen. De lekken maken het mogelijk voor een hacker om de camera en de videofeed vanop afstand te besturen, maar ook om bestanden te uploaden en downloaden naar en van de ingebouwde server. Als een camera in een Local Area Network (LAN) is geplaatst kan de aanvaller zelfs toegang krijgen tot heel het netwerk en bijbehorende bronnen.
“Deze kwetsbaarheden stellen een hacker in staat om bijna alles te doen wat hij wil”, vertelt Harry Sintonen, Senior Security Consultant bij F-Secure, die de lekken blootlegde. “Je kunt je geen slechter scenario voorstellen. Een hacker kan de camera’s een voor een misbruiken of kan een mix van devices onder vuur nemen om meer en belangrijkere rechten binnen een device en een netwerk te verkrijgen.”
Internet of Things onvoldoende beveiligd
Deze ontdekking is de laatste in een lange reeks van gekoppelde apparaten of slimme devices die niet adequaat worden beveiligd en bestand zijn tegen moderne online aanvallen. Slimme auto’s, CCTV-camera’s, DVR’s (digitale videorecorders), waterkokers en routers zijn maar een paar devices die erg onbetrouwbaar blijken te zijn. Het Mirai-botnet (dat onveilige camera’s en DVR’s aan elkaar koppelt) maakt het probleem groter. Dit leidde in oktober 2016 tot de grootste DDoS-aanval in de geschiedenis.
Volledige controle
In totaal ontdekte F-Secure maar liefst 18 kwetsbaarheden in de onderzochte IP-camera’s. Deze lekken verschaffen hackers verschillende manieren om het device aan te tasten. Onveilige, hard gecodeerde en lege referenties maken het mogelijk toegang te krijgen tot de admin-omgeving. Een hacker kan zelfs toegang krijgen tot de root van het device en zo de camera volledig controleren en deze als een spil gebruiken in het onderliggende netwerk.
De software is niet in staat de toegang tot belangrijke bestanden en directories te beperken, waardoor hackers deze kunnen wijzigen met eigen opdrachten. Tal van kwaadaardige acties behoren tot het instrumentarium van de hacker. Denk bijvoorbeeld aan ‘remote command injection’, ‘cross-site scripting’, ‘buffer overflow’ en wachtwoordaanvallen die met brute kracht worden uitgevoerd.
De hacker krijgt dus niet alleen toegang krijgen tot het beeld van de camera. Hij of zij krijgt via de camera ook toegang tot het onderliggende netwerk en alle data. De camera kan ook misbruikt worden voor grootschalige cyberaanvallen.
Ironie
“Het aspect beveiliging werd in het ontwerp van deze producten genegeerd”, vervolgt Sintonen. “De ontwikkelaars wilden het product enkel laten werken en het verkopen. Nochtans zijn veel bewezen veilige ontwerpmethoden beschikbaar, maar deze werden volledig over het hoofd gezien. Dit levert grote risico’s op voor gebruikers en hun netwerken. De ironie is dat deze camera in de markt wordt gezet als een manier om de fysieke omgeving veiliger te maken. De virtuele omgeving wordt echter een stuk zwakker.”
Welke producten?
De Chinese fabrikant Foscam maakt een aantal IP-camera’s. Sommige worden onder andere merknamen verkocht; een daarvan is OptiCam. De twee modellen die Sintonen onderzocht zijn de OptiCam i5 HD en de Foscam C2. Volgens hem is het heel aannemelijk dat de lekken ook voorkomen in andere Foscam-producten.
Aanbevelingen
Sintonen raadt gebruikers aan deze devices in een afzonderlijk netwerk te plaatsen, zodat wanneer er sprake is van een geslaagde aanval, de rest van het netwerk niet wordt blootgesteld aan de cyberaanval. “Het veranderen van het default wachtwoord is een maatregel die altijd moet worden opgevolgd”, gaat Sintonen verder. “Helaas kunnen aanvallers zelfs gewijzigde wachtwoorden omzeilen omdat dit device met hard gecodeerde referenties werkt.”
Foscam werd enkele maanden geleden door F-Secure op de hoogte gebracht van de lekken, maar tot op heden werden deze nog niet gerepareerd.
Het volledige rapport en de bijbehorende blog met aanbevelingen om de schade te beperken, vindt u hier.
Categorieën