• IT-Karriere:
  • Services:

IoT: Foscam beseitigt Exploit-Kette in Kameras

Foscam muss seine IP-Kameras erneut gegen mehrere Sicherheitslücken absichern. Angreifer hätten für eine erfolgreiche Übernahme gleich mehrere Schwachstellen kombinieren müssen.

Artikel veröffentlicht am ,
Eine Kamera von Foscam
Eine Kamera von Foscam (Bild: F-Secure)

Der chinesische IoT-Gerätehersteller Foscam hat mehrere Sicherheitslücken in aktuellen IP-Kameras geschlossen. Nach Angaben das Sicherheitsunternehmens VDOO hätten Angreifer durch die Ausnutzung verschiedener Schwachstellen die Kontrolle über die Geräte übernehmen können. Es gebe bislang keine Hinweise darauf, dass diese Probleme tatsächlich ausgenutzt werden, schreibt das Unternehmen.

Stellenmarkt
  1. Schöffel Sportbekleidung GmbH, Schwabmünchen
  2. Zühlke Engineering GmbH, Frankfurt am Main, Hamburg, Hannover, München, Stuttgart

Nachdem ein Angreifer eine Kamera etwa durch einen Portscan identifiziert hat, könnte er mit der Schwachstelle CVE-2018-6830 mehrere Dateien auf dem Gerät löschen (Arbitrary File Deletion) und so den eigentlich vorgesehenen Authentifizierungsmechanismus der Kamera außer Kraft setzen. Dazu muss der webService-Dienst neu geladen werden.

Um den Dienst neu zu starten kann der Angreifer eine weitere Sicherheitslücke ausnutzen, einen Buffer Overflow in webService. Die Schwachstelle CVE-2018-6832 führt dazu, dass der Prozess abstürzt und vom Watchdog-Daemon neu gestartet wird. Wegen der fehlenden Dateien wird die Anmeldung ohne Autorisierung durchgeführt.

Eingabe für NTP-Server wird nicht bereinigt

Im letzten Schritt wird dann die CVE-2018-6831 ausgenutzt, mit der beliebige Shellkommandos an das Gerät übertragen und mit Adminrechten ausgeführt werden. Die Kommandos können über die FastCGI-API eingeschleust werden, mit der ein eigener NTP-Server zur Zeitsynchronisierung eingeführt werden kann. Die Funktion sieht allerdings in den ungepatchten Versionen der Software keine korrekte Bereinigung der übergebenen Parameter vor ("sanitization"), sodass beliebige Befehle übergeben werden können.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Foscam hat die Schwachstellen in Zusammenarbeit mit VDOO behoben. Die jeweils aktuelle Firmware-Version für verschiedene Kameramodelle kann dem Blogpost entnommen werden. Bereits im vergangenen Jahr hatte Foscam mehrere Sicherheitslücken behoben, die das finnische Unternehmen F-Secure entdeckt hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. 1961 flog Juri Gagarin ins All
    Das sind die besten realistischen Raumfahrtfilme
  2. Fukushima lässt Wasser ab
    Tritium zwischen Tatsachen und Wissenschaftsleugnung
  3. Bewegungsprofil auslesbar
    CCC fordert "Bundesnotbremse" für Luca-App
  4. IT-Jobs
    Tipps für Gehaltsverhandlungen in Zeiten der Pandemie
  5. Elektro-Luxuslimousine
    Mercedes verbaut sieben Jahre altes Tablet im EQS
Anzeige
Hardware-Angebote
  3. 499,99€
  4. (u. a. Ryzen 5 5600X 358,03€)
Kommentarübersicht
Re: Foscam sehr schlechter Support!
chefin 12. Jun 2018

wenn du etwas heute kaufst ja wenn etwas gestern gekauft nein. IPv6 nachrüsten ist ein...

Wenigstens beheben die was
schap23 11. Jun 2018

Bei vielen IoT-Geräten kann man auf eine Reaktion des Herstellers lange warten.

Folgen Sie uns
       
Surface Duo - Fazit

Das Surface Duo ist Microsofts erstes Smartphone seit Jahren - und ein ungewöhnliches dazu. Allerdings ist das Gerät in Deutschland viel zu teuer.

Surface Duo - Fazit Video aufrufen
Arbeit
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden
ERP
Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock

    Elektroauto
    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /