Lo que comenzó como un análisis de un simple fallo de seguridad en una cámara IP inalámbrica aleatoria se convirtió en siete vulnerabilidades que afectan a más de 1.250 modelos de cámaras y exponen casi 200.000 cámaras a ser hackeadas.. Los fallos afectan a un producto genéricamente denominado Wireless IP Camera (P2P) WIFICAM, fabricado por una empresa china (actualmente sin nombre), que la vende como un producto de etiqueta blanca a varios otros vendedores de cámaras.

La culpa recae únicamente sobre el proveedor chino original

El investigador de seguridad Pierre Kim dice que el firmware producido por este proveedor chino viene con varios defectos, que han hecho su camino hacia la línea de productos de otras empresas que compraron la cámara blanca (sin marca). En total, afectan casi 1.250 modelos de cámara basados en la cámara original.

En el centro de muchas de estas cuestiones se encuentra el servidor web GoAhead, que permite a los propietarios de cámaras administrar su dispositivo a través de un panel de control basado en web.

Inicialmente, Kim informó sobre los problemas de seguridad que encontró con Embedthis Software, los fabricantes de GoAhead, pero la compañía dijo que los defectos habían sido introducidos por el fabricante chino de la cámara, que manipuló con el código del servidor antes de agregarlo al firmware de la cámara.

Puerta trasera, RCE bypass de firewall - todo incluido

Según Kim, las cámaras se ven afectadas por un total de siete fallos de seguridad. Los más gravess se enumeran a continuación.

• Puerta trasera: Telnet se ejecuta de forma predeterminada y todos pueden iniciar sesión con las siguientes credenciales. root:$1$ybdHbPDn$ii9aEIFNiolBbM9QxW9mr0:0:0::/root:/bin/sh
• Vía de información y credenciales de preautenticación - Un atacante puede omitir los procedimientos de autenticación de dispositivos proporcionando parámetros vacíos "loginuse" y "loginpas" al acceder a los archivos de configuración del servidor. Esto permite al atacante descargar archivos de configuración del dispositivo sin iniciar sesión. Los archivos de configuración contienen credenciales para el dispositivo y sus cuentas FTP y SMTP.
• Pre-auth RCE como root - Un atacante puede pasar por alto el procedimiento de autenticación y ejecutar código en la cámara bajo el usuario root simplemente accediendo a una URL con parámetros especiales.
• Transmisión sin autenticación: un atacante puede acceder al servidor RTSP incorporado de la cámara en el puerto 10554 y ver una secuencia de vídeo en directo sin tener que autenticarse

10554/tcp

user@kali$ vlc rstp://192.168.1.107:10554/tcp/av0_1

• Nube: la cámara ofrece una función "Nube" que permite a los clientes administrar el dispositivo a través de Internet. Esta característica utiliza un túnel UDP de texto claro para omitir NAT y firewalls. Un atacante puede abusar de esta función para lanzar ataques de fuerza bruta y adivinar las credenciales del dispositivo. Kim dice que este protocolo de Cloud se encontró en múltiples aplicaciones para múltiples productos, y al menos 1.000.000 dispositivos (no sólo cámaras) parecen confiar en él para evitar los cortafuegos y acceder a las redes cerradas donde se encuentran los dispositivos, derrotando de manera efectiva la protección que ofrecen esas redes privadas.

Casi 200.000 cámaras vulnerables disponibles en línea ahora mismo

Kim dijo que alrededor de 185.000 cámaras vulnerables podrían ser fácilmente identificadas vía Shodan. Hoy en día, la misma consulta produce 198.500 cámaras vulnerables.

• https://www.shodan.io/search?query=GoAhead+5ccc069c403ebaf9f0171e9517f40e41

"Aconsejo a DESCONECTAR INMEDIATAMENTE las cámaras [de] Internet", dijo Kim en una entrada del blog. "Cientos de miles [de] cámaras se ven afectadas por 0-day del Info-Leak. Millones de ellos están utilizando la insegura red de Cloud".

El código de explotación de prueba de concepto para cada uno de los siete defectos está disponible en el blog de Kim, junto con una lista de todos los modelos de cámara más vulnerables de 1.250+.

• https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

 Bleeping Computer publicó una historia sobre un fallo similar en las cámaras IP y DVR de Dahua, lo que permitió al atacante descargar el archivo de configuración simplemente accediendo a una URL. Dahua no aparece en la lista de modelos de cámaras vulnerables de Kim.

Poco después de que nuestro artículo fuera publicado, Bleeping Computer fue contactado por el investigador de seguridad de Cybereason, Amit Serper, quien señaló que tanto Cybereason (2014) como SSD (2017) habían descubierto algunos de los mismos defectos que Kim encontró. De hecho, Cybereason había tratado de notificar a los vendedores afectados desde 2014, y publicó sus hallazgos a finales de 2016. La compañía se hizo pública para aumentar la conciencia de los dispositivos IoT no seguros después de los ataques DDoS en Dyn y KrebsOnSecurity se llevaron a cabo principalmente a través de DVRs y cámaras IP.

• https://www.cybereason.com/cve-ip-cameras/
• https://blogs.securiteam.com/index.php/archives/3043

Fuentes:
https://www.bleepingcomputer.com/news/security/nearly-200-000-wifi-cameras-open-to-hacking-right-now/
http://securityaffairs.co/wordpress/57003/hacking/wi-fi-connected-cameras-flaws.html