О журнале | Читать онлайн | Публикации | Электронная газета | Подписка | Мероприятия

Журналы в формате iMag

Форум

Публикации

Архив


Новости проекта

Системная интеграция

Отраслевые

Новости CCTV

Новости СКУД

Новости ОПС

Новости ПБ

Электронная газета "Системы безопасности"


Журнал "Системы безопасности"

Каталог "Системы безопасности"

Каталог "Пожарная безопасность"

Рекламодателям


Video & Vision

СКУД. Антитерроризм


Подписка

Платная подписка

Исторический календарь

Контакты

Ссылки

Мероприятия

English

Миллионы IP-камер от более чем 100 брендов ставят под угрозу безопасность пользователей

Реклама на сайте

Миллионы IP-камер от более чем 100 брендов ставят под угрозу безопасность пользователей


10.10.2018

Миллионы IP-камер от более чем 100 брендов ставят под угрозу безопасность пользователей

Более 9 млн IP-камер, цифровых и сетевых видеорегистраторов содержат уязвимости, с помощью которых злоумышленники могут с легкостью перехватить контроль над устройством и выполнять различные действия, например, следить и взаимодействовать с жертвами, использовать их для проникновения в корпоративные сети или включить в состав ботнетов.

 Речь идет о гаджетах, изготовленных китайской компанией Hangzhou Xiongmai Technology. Поскольку производитель не выпускает продукцию под своей маркой, распространяя ее по модели "White label", пользователям довольно сложно идентифицировать уязвимые видеорегистраторы и камеры видеонаблюдения. Согласно данным специалистов SEC Consult, продукцию Hangzhou Xiongmai под своим брендом выпускают более сотни компаний.

 Все уязвимости связаны с функцией XMEye P2P Cloud, позволяющей получать доступ к облачному аккаунту XMEye через браузер или мобильное приложение. Проблема заключается в том, что учетные записи недостаточно защищены. К примеру, злоумышленники могут легко угадать идентификатор аккаунта, поскольку он основан на MAC-адресе устройства. Во-вторых, все новые учетные записи используют логин "admin" без пароля. Более того, даже если пользователь изменит логин и пароль, существует скрытый аккаунт, использующий комбинацию "default/tluafed".

 Компания не подписывает обновления прошивки, предоставляя злоумышленникам еще одну возможность компрометации устройств. С помощью учетной записи XMEye атакующий может инициировать процесс обновления прошивки и установить на устройство вредоносную версию.

 В прошлом устройства Xiongmai уже были замечены в составе различных IoT-ботнетов, в том числе печальноизвестного Mirai. Тогда производитель пообещал уделить больше внимания безопасности и отозвать все проблемные гаджеты, однако многие уязвимости по-прежнему остаются неисправленными, в том числе те, о которых компании сообщили эксперты SEC Consult в марте 2018 года.

 Согласно результатам сканирования, в настоящее время в Сети доступно по меньшей мере 9 млн устройств, произведенных Xiongmai. Как уже упоминалось, гаджеты продаются под разными торговыми марками, однако пользователи могут определить продукцию Xiongmai по странице авторизации на панели управления (изображение ниже), странице сообщения об ошибке (http://[device_IP]/err.htm) или по описанию продукта (если в нем есть упоминание XMEye, значит, это устройство Xiongmai).

Список вендоров, реализующих устройства Xiongmai под своим брендом: 9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision/sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo и ZRHUNTER

 White label (Белая этикетка) - концепция, предусматривающая производство немарочных продуктов или услуг одной компанией и использование таких продуктов или услуг другой компанией под своим брендом (маркой).

 

Securitylab

Новинки - 2016


СМАРТЕК СЕКЬЮРИТИ
СМАРТЕК СЕКЬЮРИТИ

Каталог продукции, cтр. 1


DSSL
DSSL

Видеокамеры и оптика для аналоговых и цифровых систем видеонаблюдения, cтр. 1


Basler AG
Basler AG

Широкие возможности камер Basler dart и pulse, cтр. 1


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

РАССЫЛКА

Подписка на новости сайта
Введите ваш e-mail


Реклама на сайте

ЧИТАТЬ ОНЛАЙН



Свежий номер журнала "Системы безопасности"

Вызов консультанта

ПУБЛИКАЦИИ
Видеонаблюдение
Охранно-пожарная сигнализация
Security and IT Management
Системы контроля и управления доступом
Комплексная безопасность, периметровые системы
В центре внимания. Тесты
ОПС, пожарная безопасность





Рейтинг@Mail.ru

Яндекс цитирования


Реклама на сайте | Правила перепечатки материалов | Медиакиты проектов | Авторский договор

Copyright © 2007-2018, ООО "Гротек" | Связаться с нами