26 октября, 2018

Крупнейший OEM-производитель систем видеонаблюдения Xiongmai «выходит из тени» из-за уязвимости его продукции

26.10.2018

Критическая уязвимость систем видеонаблюдения от китайской компании Xiongmai заставила всех узнать о существовании этого крупнейшего, но совершенно незаметного производителя. Компания продаёт свою продукцию только через OEM, и теперь многие пользователи постепенно узнают, что, оказывается, являются её заказчиками.

Общее число брендов, под которыми продаются изделия компании с полным именем Hangzhou Xiongmai Technology Co., — более 100. Возможно, это далеко не всё. Компания, производящая системы видеонаблюдения в огромных количествах, была абсолютно незаметна. Впервые она появилась в поле зрения специалистов два года назад из-за того, что на её продукции распространялся ботнет Mirai.

И вот теперь компания SEC Consult обнаружила критическую уязвимость продуктов Xiongmai, связанную с её облачным сервисом XMEye. Его использование разрешено во всех продуктах Xiongmai, причём по умолчанию. Доступ к удалённым камерам через этот облачный сервис позволяет обходить межсетевые экраны.

Специалисты разбрались с тем, как каждому устройству Xiongmai приписывается идентификационный номер (ID), через который пользователь связывается с этим устройством. Оказалось, что он, несмотря на свою сложность (например, 68ab8124db83c8db), не является случайным, а строится по MAC-адресу, который, в свою очередь, содержит идентификаторы вендора и интерфейса. За счёт этого ID можно частично вычислить, а затем достроить подбором.

Исследователи проверили это, просканировав облачную инфраструктуру Xiongmai, и нашли 9 млн устройств с вычисляемыми ID. Несмотря на то, что они посылали по 33 тысячи запросов с одного IP-адреса, сканируемое облако не блокировало их — такой защиты в нём нет.

Далее исследователи определили, что доступ ко многим устройствам производится через логин admin с пустой строкой в качестве пароля. Такой «админ» может просматривать видеопоток, менять настройки и даже обновлять прошивки. Любой желающий может также использовать логин default («по умолчанию») с паролем tluafed (то же слово наоборот). Такой пользователь получает, как минимум, доступ к видеопотоку.

Получив доступ к устройству Xiongmai, злоумышленник может через обновление прошивки внедрить в него вредоносный код. В итоге он сможет смотреть видеоизображение и даже вступать со своей жертвой в двухстороннюю аудиосвязь. Другая возможность — проникнуть в локальную сеть организации и далее — в другие системы. Наконец, умелый хакер может организовать ботнет из устройств Xiongmai.