Windows

كاميرات IP اللاسلكية المستخدمة على نطاق واسع مفتوحة للاختطاف عبر الإنترنت ، ويقول الباحثون

SCADA Tutorial 2018 - RTU, HMI, Sensors, & Purchasing Tips

SCADA Tutorial 2018 - RTU, HMI, Sensors, & Purchasing Tips

جدول المحتويات:

Anonim

آلاف من كاميرات IP اللاسلكية المتصلة بالإنترنت تعاني من نقاط ضعف أمنية خطيرة تسمح للمهاجمين باختطافهم وتغيير البرامج الثابتة الخاصة بهم وفقًا لباحثين من شركة Qualys الأمنية.

تُباع الكاميرات تحت العلامة التجارية Foscam في الولايات المتحدة ، ولكن الأجهزة نفسها يمكن العثور عليها في أوروبا وفي أماكن أخرى باستخدام علامات تجارية مختلفة ، كما قال الباحثان في Qualys ، سيرجي شيكيان وأرتام هاروتيونيان ، حللت أمن الأجهزة ، ومن المقرر أن تعرض النتائج التي توصلوا إليها في مؤتمر الأمن في هاك في بوكس ​​في أمستردام يوم الخميس.

Tutorials provid من قبل بائع الكاميرا يحتوي على تعليمات حول كيفية جعل الأجهزة قابلة للوصول من الإنترنت عن طريق إعداد قواعد إعادة توجيه المنفذ في أجهزة التوجيه. وبسبب هذا ، يتعرض العديد من هذه الأجهزة للإنترنت ويمكن مهاجمتها عن بعد ، كما قال الباحثون.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

البحث عن الكاميرات أمر سهل ويمكن القيام به في عدة طرق. تتضمن إحدى الطرق استخدام محرك بحث Shodan للبحث عن رأس HTTP خاص بواجهات المستخدم المستندة إلى الويب الخاصة بالكاميرات. وقال الباحثون إن مثل هذا الاستفسار سيعيد أكثر من 100 ألف جهاز.

كما أن الباعة الذين يبيعون هذه الكاميرات قد قاموا بتكوينها لاستخدام خدمات DNS الديناميكية الخاصة بهم. على سبيل المثال ، تحصل كاميرات Foscam على اسم مضيف للنوع [حرفين وأربعة أرقام]. myfoscam.org. من خلال مسح مساحة الاسم *.myfoscam.org بالكامل ، يمكن للباحثين التعرف على معظم كاميرات Foscam المتصلة بالإنترنت.

يسمح ما يقرب من اثنين من كل 10 كاميرات للمستخدمين بتسجيل الدخول باستخدام اسم المستخدم الافتراضي "admin" ولا كلمة المرور ، كما قال الباحثون. أما بالنسبة للباقي التي تحتوي على كلمات مرور تم تكوينها بواسطة المستخدم ، فهناك طرق أخرى لاختراقها.

طرق الهجوم

تتمثل إحدى الطرق في استغلال ثغرة تم اكتشافها مؤخرًا في واجهة ويب الكاميرا التي تسمح للمهاجمين عن بعد بالحصول على لقطة من ذاكرة الجهاز.

سيحتوي ملف تفريغ الذاكرة هذا على اسم المستخدم وكلمة المرور للمسؤول بنص واضح مع معلومات حساسة أخرى مثل بيانات اعتماد Wi-Fi أو تفاصيل حول الأجهزة الموجودة على الشبكة المحلية ، على حد قول الباحثين. وقد قام البائع بتصحيح هذه الثغرة الأمنية في أحدث البرامج الثابتة ، ولا يزال 99 بالمائة من كاميرات Foscam على الإنترنت تعمل على إصدارات قديمة من البرامج الثابتة ، كما أنها معرضة للخطر. هناك أيضًا طريقة لاستغلال هذه الثغرة الأمنية حتى مع تثبيت أحدث البرامج الثابتة إذا كان لديك بيانات اعتماد على مستوى مشغل الكاميرا.

طريقة أخرى هي استغلال خطأ التزوير في الموقع (CSRF) في الواجهة عن طريق خداع مسؤول الكاميرا لفتح رابط وضعت خصيصا. يمكن استخدام هذا لإضافة حساب مسؤول ثانوي إلى الكاميرا.

الطريقة الثالثة هي تنفيذ هجوم قوي من أجل تخمين كلمة المرور ، لأن الكاميرا لا تتمتع بأي حماية من هذا ، وكلمات المرور تقتصر على 12

بمجرد أن يتمكن المهاجم من الوصول إلى الكاميرا ، يمكنه تحديد إصدار البرنامج الثابت الخاص به ، وتنزيل نسخة من الإنترنت ، وتنزيلها ، وإضافة رمز شرير إليها وكتابتها مرة أخرى على الجهاز.

تعتمد البرامج الثابتة على uClinux ، وهو نظام تشغيل يستند إلى Linux للأجهزة المدمجة ، لذا فإن هذه الكاميرات من الناحية التقنية هي أجهزة Linux متصلة بالإنترنت. وهذا يعني أنه بإمكانهم تشغيل برامج عشوائية مثل عميل الروبوتات ، أو بروكسي أو ماسح ضوئي ، كما قال الباحثون.

بما أن الكاميرات متصلة أيضًا بالشبكة المحلية ، فيمكن استخدامها لتعريف الأجهزة المحلية التي تهاجم عن بعد ومهاجمتها عن بعد. على خلاف ذلك ، يمكن الوصول إليها من الإنترنت ، على سبيل المثال ،

هناك بعض القيود على ما يمكن تشغيله على هذه الأجهزة نظرًا لأنها تحتوي على 16 ميغابايت فقط من ذاكرة الوصول العشوائي ووحدة المعالجة المركزية بطيئة ومعظم الموارد المستخدمة بالفعل من خلال عملياتها الافتراضية. ومع ذلك ، وصف الباحثون عدة هجمات عملية. واحد منهم ينطوي على إنشاء حساب مسؤول خفي مستتر غير مدرج في واجهة الويب.

يتضمن الهجوم الثاني تعديل البرنامج الثابت لتشغيل خادم وكيل على المنفذ 80 بدلاً من واجهة الويب. سيتم إعداد هذا الوكيل ليتصرف بشكل مختلف اعتمادًا على من يتصل به.

على سبيل المثال ، إذا قام المسؤول بالوصول إلى الكاميرا عبر المنفذ 80 ، فسيقوم الوكيل بعرض واجهة الويب العادية نظرًا لأن المشرف لم يكن قد تم تكوين متصفحه ليتم تكوينه. استخدام عنوان IP الخاص بالكاميرا كخادم وكيل. ومع ذلك ، فإن المهاجم الذي يقوم بتكوين المستعرض الخاص به بهذه الطريقة سيكون له اتصال من خلال الوكيل.

ينطوي سيناريو الهجوم الثالث على تسميم واجهة الويب لتحميل جزء من شفرة جافا سكريبت مستضافة عن بُعد. سيسمح هذا للمهاجم باختراق متصفح مسؤول الكاميرا عندما يزور الواجهة.

الهجمات الآلية

أصدر الباحثون أداة مفتوحة المصدر تسمى "getmecamtool" والتي يمكن استخدامها لأتمتة معظم هذه الهجمات ، بما في ذلك الحقن الملفات القابلة للتنفيذ في البرامج الثابتة أو تصحيح واجهة الويب.

تتطلب الأداة استخدام بيانات اعتماد تسجيل دخول صالحة لاستخدامها في الكاميرا المستهدفة ، وهو مقياس اتخذه الباحثون للحد من إساءة استخدامه.

كما أن الكاميرات معرضة أيضًا لهجمات رفض الخدمة لأنها لا تستطيع التعامل إلا مع 80 بروتوكول HTTP متزامن روابط. ويمكن استخدام مثل هذا الهجوم ، على سبيل المثال ، من أجل تعطيل الكاميرا أثناء إجراء عملية سطو ، كما قال الباحثون.

أفضل شيء هو عدم تعرض هذه الكاميرات للإنترنت ، كما قال الباحثون. ومع ذلك ، إذا كانت هناك حاجة لذلك ، فيجب نشر الكاميرات خلف الجدران النارية أو أنظمة منع التطفل مع قواعد صارمة.

يجب السماح بالوصول إليها فقط من عدد محدود من عناوين IP الموثوقة ، ويجب أن يكون الحد الأقصى لعدد الاتصالات المتزامنة قالوا. إن عزل الكاميرات من الشبكة المحلية هو أيضًا فكرة جيدة ، وذلك لمنعهم من إساءة استخدامها لمهاجمة الأجهزة المحلية.

إذا كنت مهتمًا بنشر كاميرا IP عالية الوضوح غير معروفة لتكون حساسة. لهذا الاختراق ، لدينا مراجعات لثلاثة نماذج جديدة.