IoT: Foscam beseitigt Exploit-Kette in Kameras

Der chinesische IoT-Gerätehersteller Foscam hat mehrere Sicherheitslücken in aktuellen IP-Kameras geschlossen. Nach Angaben das Sicherheitsunternehmens VDOO hätten Angreifer durch die Ausnutzung verschiedener Schwachstellen die Kontrolle über die Geräte übernehmen können. Es gebe bislang keine Hinweise darauf, dass diese Probleme tatsächlich ausgenutzt werden, schreibt das Unternehmen.

Stellenmarkt

1. Dataport, verschiedene Standorte
2. sunhill technologies GmbH, Erlangen

Nachdem ein Angreifer eine Kamera etwa durch einen Portscan identifiziert hat, könnte er mit der Schwachstelle CVE-2018-6830 mehrere Dateien auf dem Gerät löschen (Arbitrary File Deletion) und so den eigentlich vorgesehenen Authentifizierungsmechanismus der Kamera außer Kraft setzen. Dazu muss der webService-Dienst neu geladen werden.

Um den Dienst neu zu starten kann der Angreifer eine weitere Sicherheitslücke ausnutzen, einen Buffer Overflow in webService. Die Schwachstelle CVE-2018-6832 führt dazu, dass der Prozess abstürzt und vom Watchdog-Daemon neu gestartet wird. Wegen der fehlenden Dateien wird die Anmeldung ohne Autorisierung durchgeführt.

Eingabe für NTP-Server wird nicht bereinigt

Im letzten Schritt wird dann die CVE-2018-6831 ausgenutzt, mit der beliebige Shellkommandos an das Gerät übertragen und mit Adminrechten ausgeführt werden. Die Kommandos können über die FastCGI-API eingeschleust werden, mit der ein eigener NTP-Server zur Zeitsynchronisierung eingeführt werden kann. Die Funktion sieht allerdings in den ungepatchten Versionen der Software keine korrekte Bereinigung der übergebenen Parameter vor ("sanitization"), sodass beliebige Befehle übergeben werden können.

Foscam hat die Schwachstellen in Zusammenarbeit mit VDOO behoben. Die jeweils aktuelle Firmware-Version für verschiedene Kameramodelle kann dem Blogpost entnommen werden. Bereits im vergangenen Jahr hatte Foscam mehrere Sicherheitslücken behoben, die das finnische Unternehmen F-Secure entdeckt hatte.