Milioni di dispositivi di videosorveglianza Xiongmai possono essere facilmente hackerati tramite una falla presente in una funzionalità per l’accesso al cloud
I numeri dello studio su dispositivi dell’Internet delle Cose che sto per presentarvi sono allarmanti, parliamo di milioni di sistemi di videosorveglianza vulnerabili prodotti dell’azienda Xiongmai.
A lanciare l’allarme sono gli esperti dell’azienda di sicurezza SEC Consult che hanno identificato oltre 100 aziende che acquistano e rinominano apparecchiature di videosorveglianza (videocamere di sorveglianza, videoregistratori digitali (DVR) e videoregistratori di rete (NVR)) prodotti dalla azienda cinese Hangzhou Xiongmai Technology Co. , Ltd. e che sono esposti as attacchi.
Avete capito bene, più di cento aziende applicano il proprio logo sui dispositivi prodotti dalla azienda Xiongmai per poi rivenderli.
La stima ufficiale parla di diversi milioni di dispositivi affetti da falle di sicurezza che possono essere facilmente sfruttate da un utente malintenzionato per compromettere in remoto i sistemi di sorveglianza. Le falle potrebbero essere sfruttate per spiare gli ignari proprietari oppure per reclutare i dispositivi in botnet usate poi per attività di crypto-mining oppure per lanciare attacchi DDoS.
Le vulnerabilità sono presenti in una funzionalità denominata “XMEye P2P Cloud” che è abilitata di default e che viene utilizzata per connettere i dispositivi di sorveglianza all’infrastruttura cloud.
“Dal punto di vista dell’usabilità, questo rende più facile per gli utenti interagire con il dispositivo, dal momento che l’utente non deve essere nella stessa rete (ad esempio la stessa rete Wi-Fi) per connettersi al dispositivo. Inoltre, sul router non sono richieste regole del firewall, regole di port forwarding o configurazione DDNS , il che rende questa opzione comoda anche per gli utenti non esperti”. recita il rapporto pubblicato da SEC Consult. “Tuttavia, questo approccio ha diverse implicazioni sulla sicurezza:
- Il provider del servizio cloud riceve tutti i dati (ad esempio i flussi video che vengono visualizzati).Domande aperte:
- Chi gestisce questi server?
- Chi controlla questi server?Dove si trovano?
- Sono conformi alla giurisdizione locale?
- Il servizio è conforme al GDPR dell’UE?
- Se la connessione dati non è correttamente crittografata chiunque possa intercettare la connessione è in grado di monitorare tutti i dati
- La funzione “P2P Cloud” ignora i firewall e consente effettivamente connessioni remote in reti private. Ora, gli aggressori non possono solo attaccare dispositivi che sono stati intenzionalmente / involontariamente esposti in rete (classico “hacking di Shodan” o l’approccio di Mirai), ma un gran numero di dispositivi che sono esposti tramite il “P2P Cloud”. “
Ogni sustem ha un ID univoco, denominato ID cloud o UID (del tipo 68ab8124db83c8db) che consente agli utenti di connettersi a un dispositivo specifico tramite una delle app supportate.
Sfortunatamente, l’ID cloud non è sufficientemente casuale e complesso, al punto che potrebbe esser indovinato in quanto l’analisi del firmware Xiongmai ha rivelato che è derivato dall’indirizzo MAC del dispositivo.
Secondo gli esperti di SEC Consult, un utente malintenzionato può indovinare gli ID account e accedere al feed associato ad altri ID,
Gli esperti hanno riscontrato molti altri problemi di sicurezza, ad esempio, tutti i nuovi account XMEye utilizzano un nome utente amministrativo predefinito “admin” senza password e la cosa peggiore peggiore è che il processo di installazione non richiede agli utenti di modificarlo.
Gli esperti hanno anche scoperto un utente non documentato con il nome “default” e la password “tluafed”.
“Oltre all’utente amministratore, per impostazione predefinita c’è un utente non documentato con il nome” predefinito “. La password di questo utente è “tluafed” (default al contrario). “Continua l’analisi.
“Abbiamo verificato che questo utente può essere utilizzato per accedere a un dispositivo tramite il cloud XMEye (controllato tramite client personalizzato utilizzando Xiongmai NetSDK ). Questo utente sembra avere almeno le autorizzazioni per accedere / visualizzare i flussi video. “
Gli esperti hanno anche verificato che è possibile eseguire codice arbitrario sul dispositivo tramite un aggiornamento del firmware.
Gli aggiornamenti del firmware non sono firmati, questo significa che un utente malintenzionato può eseguire un attacco MITM e impersonare il cloud XMEye per servire una versione del firmware contaminata.
I dispositivi Xiongmai sono stati reclutati in diverse botnet dell’IoT negli ultimi mesi, sia il bot Mirai che i Satori hanno infettato un numero enorme di dispositivi fabbricati dalla ditta cinese.
“Abbiamo collaborato con ICS-CERT per risolvere questo problema dal marzo 2018. ICS-CERT ha fatto grandi sforzi per entrare in contatto con Xiongmai e il CNCERT / CC cinese e informarli sui problemi. Sebbene Xiongmai avesse ricevuto un preavviso di sette mesi, non hanno risolto nessuno dei problemi”.
“La conversazione con loro negli ultimi mesi ha dimostrato che la sicurezza non è affatto una priorità per loro”. Conclude SEC Consult.
Concludo con una riflessione, in rete esiste un esercito di dispositivi facili da compromettere da parte di attori nation-state e sindacati criminali, comprenderete l’elevato rischio per qualunque risorsa in internet che potrebbe essere bersaglio di attacchi da questi dispositivi.
Urgono norme che impediscano ai produttori di ignorare allarmi come questo perché i dispositivi non sicuri sono vere e proprie armi alla mercè di qualunque attaccante.
