Abo
  • Services:

IoT: Foscam beseitigt Exploit-Kette in Kameras

Foscam muss seine IP-Kameras erneut gegen mehrere Sicherheitslücken absichern. Angreifer hätten für eine erfolgreiche Übernahme gleich mehrere Schwachstellen kombinieren müssen.

Artikel veröffentlicht am ,
Eine Kamera von Foscam
Eine Kamera von Foscam (Bild: F-Secure)

Der chinesische IoT-Gerätehersteller Foscam hat mehrere Sicherheitslücken in aktuellen IP-Kameras geschlossen. Nach Angaben das Sicherheitsunternehmens VDOO hätten Angreifer durch die Ausnutzung verschiedener Schwachstellen die Kontrolle über die Geräte übernehmen können. Es gebe bislang keine Hinweise darauf, dass diese Probleme tatsächlich ausgenutzt werden, schreibt das Unternehmen.

Stellenmarkt
  1. Zehnder Group Deutschland GmbH, Lahr
  2. AVL List GmbH, Graz (Österreich)

Nachdem ein Angreifer eine Kamera etwa durch einen Portscan identifiziert hat, könnte er mit der Schwachstelle CVE-2018-6830 mehrere Dateien auf dem Gerät löschen (Arbitrary File Deletion) und so den eigentlich vorgesehenen Authentifizierungsmechanismus der Kamera außer Kraft setzen. Dazu muss der webService-Dienst neu geladen werden.

Um den Dienst neu zu starten kann der Angreifer eine weitere Sicherheitslücke ausnutzen, einen Buffer Overflow in webService. Die Schwachstelle CVE-2018-6832 führt dazu, dass der Prozess abstürzt und vom Watchdog-Daemon neu gestartet wird. Wegen der fehlenden Dateien wird die Anmeldung ohne Autorisierung durchgeführt.

Eingabe für NTP-Server wird nicht bereinigt

Im letzten Schritt wird dann die CVE-2018-6831 ausgenutzt, mit der beliebige Shellkommandos an das Gerät übertragen und mit Adminrechten ausgeführt werden. Die Kommandos können über die FastCGI-API eingeschleust werden, mit der ein eigener NTP-Server zur Zeitsynchronisierung eingeführt werden kann. Die Funktion sieht allerdings in den ungepatchten Versionen der Software keine korrekte Bereinigung der übergebenen Parameter vor ("sanitization"), sodass beliebige Befehle übergeben werden können.

Foscam hat die Schwachstellen in Zusammenarbeit mit VDOO behoben. Die jeweils aktuelle Firmware-Version für verschiedene Kameramodelle kann dem Blogpost entnommen werden. Bereits im vergangenen Jahr hatte Foscam mehrere Sicherheitslücken behoben, die das finnische Unternehmen F-Secure entdeckt hatte.



Anzeige
Blu-ray-Angebote
  1. (u. a. Spider-Man 1-3 für 8,49€, X-Men 1-6 für 23,83€ und Batman 1-4 für 14,97€)
  2. 9,99€
  3. (2 Monate Sky Ticket für nur 4,99€)

chefin 12. Jun 2018 / Themenstart

wenn du etwas heute kaufst ja wenn etwas gestern gekauft nein. IPv6 nachrüsten ist ein...

schap23 11. Jun 2018 / Themenstart

Bei vielen IoT-Geräten kann man auf eine Reaktion des Herstellers lange warten.

Kommentieren


Folgen Sie uns
       


Xbox E3 2018 Pressekonferenz - Golem.de Live

Große Gefühle beim E3-2018-Livestream von Microsoft: Erlebt mit uns die Ankündigungen von Halo Infinite, Gears 5, Sekiro, Cyberpunk 2077 und vielem mehr.

Xbox E3 2018 Pressekonferenz - Golem.de Live Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  2. Cityairbus Mit Siemens soll das Lufttaxi abheben
  3. Verkehr Porsche entwickelt Lufttaxi

Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Roboat MIT-Forscher drucken autonom fahrende Boote
  2. Elektromobilität Norwegen baut mehr Elektrofähren
  3. Elektromobilität Norwegische Elektrofähre ist sauber und günstig

Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Control Remedy Entertainment mit übersinnlichen Räumen
  2. Smach Z ausprobiert Neuer Blick auf das Handheld für PC-Spieler
  3. The Division 2 angespielt Action rund um Air Force One

    •  /