Уязвимы по умолчанию. Большинство цифровых видеорегистраторов открыты для удаленного доступа

В заголовке нет ни игры словами, ни преувеличения. Масштабы вскрывшихся проблемы ужасают. Пользуясь только общедоступными сетевыми сервисами, сотрудник Security News получил полный доступ к видеорегистратору, который стоит в магазине на соседней улице — не составляло никакого труда не только смотреть видео, но при желании, стереть архив или вообще выключить камеры. К теме сетевой безопасности видеонаблюдения нас вернул интересный пресс-релиз. С него и начнем.

Исследовательская лаборатория Gotham Digital Science выпустила новый модуль для своего программного пакета Metasploit Framework. Дополнение под названием cctv_dvr_login предназначен для эффективного подбора паролей к цифровых видеорегистраторов от нескольких производителей — MicroDigital, HIVISION, CTRing, а также от существенного количества других вендоров, которые продают OEM-оборудования под собственными марками. Этот инструмент аудита сетевой безопасности разработчик называет оксюмороном "интеллектуальный брутфорсер". Срок brute force ("грубая сила") применяется к методу несанкционированного доступа путем автоматического перебора большого числа паролей, обычно по словарю.

С видеорегистраторами, о которых идет речь, можно работать через клиентское приложение для Windows, мобильное приложение или браузерный интерфейс на основе ActiveX-элемента (эта технология поддерживается только браузером Internet Explorer). Именно авторизацию через ActiveX и эмулирует разработка от Gotham. В блоге лаборатории подробно описан процесс обратного ИНЖЕНЕРИНГ: с помощью Wireshark аналитики "разобрали" пакеты, которыми обменивается ActiveX-клиент и сервер регистратора. Сначала исследователям бросилось в глаза, что ответ сервера при простом несовпадении пароля отличается от данных, которые возвращаются в том случае, когда логина не существует. Ага, задача упрощается. А зная, как формируется пакет с запросом и как должен выглядеть искомый результат, уже не составляет никакого труда написать брутфорсер.

Уязвимости цифровых видеорегистраторов

Брутфорсер от Gotham в работе. Салатовые буквы на черном фоне дают +10% к вероятности успешного проникновения
Брутфорсер от Gotham в работе. Салатовые буквы на черном фоне дают +10% к вероятности успешного проникновения

Не будет честным сказать, что регистраторы оказались дырявыми, как дуршлаги. C камерами TRENDNet ситуация была иной — там была обнаружена именно "дыра" уязвимость катастрофические масштабы. А тут разработчиков можно упрекнуть лишь в том, что они не предусмотрели защиту от быстрого перебора паролей. Иначе говоря, не сделали функцию автоматической блокировки дальнейших попыток входа после нескольких неправильно введенных комбинаций.

Авторизация через ActiveX используется довольно редко — пожалуй, лаборатория выполняла аудит конкретного продукта. Гораздо чаще логин и пароль нужно вводить или вебформу, или в окно браузера — тогда авторизация выполняется стандартными средствами протокола HTTP. Брутфорсеры для HTTP существуют давно. Подбор параметров авторизации перебором — достаточно обыденное сторона информационных технологий …

Гораздо важнее другая информация, раскрылись во время этого исследования.

Полную версию статьи "Уязвимые по умолчанию. Большинство цифровых видеорегистраторов открыты для удаленного доступа" читайте в электронном журнале Security Focus или в сентябрьском выпуске газеты Security News.

Оцените статью
Access Electronics