Luki w zabezpieczeniach NeosSmartCam pozwalają napastnikom ominąć uwierzytelnianie i zalogować się jako root. Wyniki badań

Analitycy bezpieczeństwa Bitdefender znaleźli kilka luk w urządzeniach NeosSmartCam IoT, które umożliwiłyby atakom ominięcie uwierzytelniania i wykonanie zdalnych kodów, otwierając nowe sposoby wykorzystania urządzenia.

Nie da się przecenić znaczenia inteligentnych kamer bezpieczeństwa ani wartości treści, które gromadzą każdego dnia. Wielu konsumentów instaluje je i zapomina o internetowym „oku”, które zawsze filmuje w tle. Otwarcie tego typu sprzętu na zdalne ataki to jeden z najgorszych możliwych scenariuszy dla inteligentnego domu.

Badania technologów

Aby rozwiązać te problemy i uczynić inteligentny dom bezpieczniejszym, Bitdefender regularnie bada niektóre z najpopularniejszych urządzeń IoT na rynku. Badacze bezpieczeństwa przeanalizowali NeosSmartCam i znaleźli dwie luki, które dostawca szybko naprawił.

„Luka w oprogramowaniu sprzętowym urządzenia umożliwia lokalnemu napastnikowi ominięcie mechanizmu uwierzytelniania i uzyskanie dostępu do nieudokumentowanych funkcji urządzenia, w tym dostępu do konta root” – powiedzieli badacze bezpieczeństwa w artykule.

„Możemy uzyskać dostęp do nieudokumentowanych funkcji, co pozwala nam uzyskać uprawnienia roota na urządzeniu, włączając Telnet i używając poświadczeń root:ismart12”..

Jak wykorzystać lukę

Atakujący mogą wykorzystać tę lukę zdalnie lub z sieci LAN, co czyni ją szczególnie niebezpieczną. Druga luka umożliwia atak przepełnienia bufora, który umożliwia użytkownikom zewnętrznym uruchamianie poleceń jako root. Dostęp do funkcjonalności można również uzyskać zdalnie, pod warunkiem, że atakujący zna UID urządzenia, tak jak pierwszy. Sprzedawca szybko rozwiązał problem i udostępnił oprogramowanie w wersji 4.15.2.311, które naprawia obie luki. Fakt, że Neos prowadzi program bug bounty, bardzo pomógł, ponieważ umożliwił obu stronom ustanowienie bezpiecznego kanału komunikacji.

Zabezpiecz się

Na wszelki wypadek upewnij się, że Twoje urządzenia IoT są odizolowane w sieci domowej, podłączone do dedykowanego identyfikatora SSID. Jeśli masz w domu inteligentne urządzenia, powinieneś również zastosować potężne rozwiązanie cyberbezpieczeństwa sieci, takie jak routery NETGEAR Orbi lub Nighthawk.

Poczuj się bezpiecznie

Bitdefender dla domu

Wiedza specjalistyczna