Af Torben B. Sørensen, 08/06/17
Sikkerhedsfirmaet F-Secure har fundet de 18 huller i IP-kameraer fra producenten Foscam. En række andre firmaer sælger kameraerne under deres egne varemærker: Chacon, Thomson, 7links, Opticam, Netis, Turbox, Novodio, Ambientcam, Nexxt, Technaxx, Qcam, Ivue, Ebode og Sab.
Alle sårbarhederne findes i Opticam i5, der fremstilles af Foscam, men sælges under navnet Opticam. En del af sårbarhederne findes også i Foscam C2.
Blandt de alvorlige sårbarheder er en indbygget FTP-server uden passwordbeskyttelse. Også beskyttelsen af web-grænsefladen er mangelfuld.
Der er en udokumenteret telnet-server i enhederne, som angribere kan anvende. Og der er flere sårbarheder, der gør det muligt at indsætte kommandoer.
F-Secure oplyser, at firmaet har kontaktet Foscam for flere måneder siden, men at firmaet ikke har lukket sikkerhedshullerne.
Anbefaling
Isoler enhederne på deres egne netværkssegmenter, der er isoleret fra internettet.
Links
- Vulnerabilities In Foscam IP Cameras, F-Secure
- Of Cameras & Compromise: How IoT Could Dull Your Competitive Edge, F-Secure
- White-box webcam scatters vulnerabilities through multiple OEMs, artikel fra The Register
- Multiple Vulnerabilities Found in Popular IP Cameras, artikel fra SecurityWeek