• IT-Karriere:
  • Services:

IoT: Foscam beseitigt Exploit-Kette in Kameras

Foscam muss seine IP-Kameras erneut gegen mehrere Sicherheitslücken absichern. Angreifer hätten für eine erfolgreiche Übernahme gleich mehrere Schwachstellen kombinieren müssen.

Artikel veröffentlicht am ,
Eine Kamera von Foscam
Eine Kamera von Foscam (Bild: F-Secure)

Der chinesische IoT-Gerätehersteller Foscam hat mehrere Sicherheitslücken in aktuellen IP-Kameras geschlossen. Nach Angaben das Sicherheitsunternehmens VDOO hätten Angreifer durch die Ausnutzung verschiedener Schwachstellen die Kontrolle über die Geräte übernehmen können. Es gebe bislang keine Hinweise darauf, dass diese Probleme tatsächlich ausgenutzt werden, schreibt das Unternehmen.

Stellenmarkt
  1. Landwirtschaftliche Rentenbank, Frankfurt am Main
  2. operational services GmbH & Co. KG, Frankfurt am Main

Nachdem ein Angreifer eine Kamera etwa durch einen Portscan identifiziert hat, könnte er mit der Schwachstelle CVE-2018-6830 mehrere Dateien auf dem Gerät löschen (Arbitrary File Deletion) und so den eigentlich vorgesehenen Authentifizierungsmechanismus der Kamera außer Kraft setzen. Dazu muss der webService-Dienst neu geladen werden.

Um den Dienst neu zu starten kann der Angreifer eine weitere Sicherheitslücke ausnutzen, einen Buffer Overflow in webService. Die Schwachstelle CVE-2018-6832 führt dazu, dass der Prozess abstürzt und vom Watchdog-Daemon neu gestartet wird. Wegen der fehlenden Dateien wird die Anmeldung ohne Autorisierung durchgeführt.

Eingabe für NTP-Server wird nicht bereinigt

Im letzten Schritt wird dann die CVE-2018-6831 ausgenutzt, mit der beliebige Shellkommandos an das Gerät übertragen und mit Adminrechten ausgeführt werden. Die Kommandos können über die FastCGI-API eingeschleust werden, mit der ein eigener NTP-Server zur Zeitsynchronisierung eingeführt werden kann. Die Funktion sieht allerdings in den ungepatchten Versionen der Software keine korrekte Bereinigung der übergebenen Parameter vor ("sanitization"), sodass beliebige Befehle übergeben werden können.

Foscam hat die Schwachstellen in Zusammenarbeit mit VDOO behoben. Die jeweils aktuelle Firmware-Version für verschiedene Kameramodelle kann dem Blogpost entnommen werden. Bereits im vergangenen Jahr hatte Foscam mehrere Sicherheitslücken behoben, die das finnische Unternehmen F-Secure entdeckt hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

chefin 12. Jun 2018

wenn du etwas heute kaufst ja wenn etwas gestern gekauft nein. IPv6 nachrüsten ist ein...

schap23 11. Jun 2018

Bei vielen IoT-Geräten kann man auf eine Reaktion des Herstellers lange warten.


Folgen Sie uns
       


iPhone, iPad und Co.: Apple bringt iOS 14, iPadOS 14, TVOS 14 und WatchOS 7
iPhone, iPad und Co.
Apple bringt iOS 14, iPadOS 14, TVOS 14 und WatchOS 7

Auch ohne neue iPhones lässt es sich Apple nicht nehmen, seine neue iOS-Version 14 zu veröffentlichen. Auch andere Systeme erhalten Upgrades.

  1. Apple Pay EU will Apple zur Freigabe von NFC-Chip bringen
  2. Apple One Abos der verschiedenen Apple-Dienste im Paket
  3. Corona Apple hat eigenen Mund-Nasen-Schutz entwickelt

Burnout im IT-Job: Mit den Haien schwimmen
Burnout im IT-Job
Mit den Haien schwimmen

Unter Druck bricht ein Webentwickler zusammen - zerrieben von zu eng getakteten Projekten. Obwohl die IT-Branche psychische Belastungen als Problem erkannt hat, lässt sie Beschäftigte oft allein.
Eine Reportage von Miriam Binner


    Elektrophobie: Zukunftsverweigerung oder was ich als E-Autofahrer erlebte
    Elektrophobie
    Zukunftsverweigerung oder was ich als E-Autofahrer erlebte

    Beschimpfungen als "Öko-Idiot" oder der Mittelfinger auf der Autobahn: Als Elektroauto-Fahrer macht man einiges mit - aber nicht mit dem Auto selbst.
    Ein Erfahrungsbericht von Matthias Horx

    1. Softwarefehler Andere Marken laden gratis an Teslas Superchargern
    2. Lucid Motors Elektrolimousine Lucid Air kostet 170.000 US-Dollar
    3. Model Y Tesla befestigt Kühlaggregat mit Baumarktleisten

      •  /