Abo
  • IT-Karriere:

IoT: Foscam beseitigt Exploit-Kette in Kameras

Foscam muss seine IP-Kameras erneut gegen mehrere Sicherheitslücken absichern. Angreifer hätten für eine erfolgreiche Übernahme gleich mehrere Schwachstellen kombinieren müssen.

Artikel veröffentlicht am ,
Eine Kamera von Foscam
Eine Kamera von Foscam (Bild: F-Secure)

Der chinesische IoT-Gerätehersteller Foscam hat mehrere Sicherheitslücken in aktuellen IP-Kameras geschlossen. Nach Angaben das Sicherheitsunternehmens VDOO hätten Angreifer durch die Ausnutzung verschiedener Schwachstellen die Kontrolle über die Geräte übernehmen können. Es gebe bislang keine Hinweise darauf, dass diese Probleme tatsächlich ausgenutzt werden, schreibt das Unternehmen.

Stellenmarkt
  1. Hays AG, Raum Herrenberg
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Köln

Nachdem ein Angreifer eine Kamera etwa durch einen Portscan identifiziert hat, könnte er mit der Schwachstelle CVE-2018-6830 mehrere Dateien auf dem Gerät löschen (Arbitrary File Deletion) und so den eigentlich vorgesehenen Authentifizierungsmechanismus der Kamera außer Kraft setzen. Dazu muss der webService-Dienst neu geladen werden.

Um den Dienst neu zu starten kann der Angreifer eine weitere Sicherheitslücke ausnutzen, einen Buffer Overflow in webService. Die Schwachstelle CVE-2018-6832 führt dazu, dass der Prozess abstürzt und vom Watchdog-Daemon neu gestartet wird. Wegen der fehlenden Dateien wird die Anmeldung ohne Autorisierung durchgeführt.

Eingabe für NTP-Server wird nicht bereinigt

Im letzten Schritt wird dann die CVE-2018-6831 ausgenutzt, mit der beliebige Shellkommandos an das Gerät übertragen und mit Adminrechten ausgeführt werden. Die Kommandos können über die FastCGI-API eingeschleust werden, mit der ein eigener NTP-Server zur Zeitsynchronisierung eingeführt werden kann. Die Funktion sieht allerdings in den ungepatchten Versionen der Software keine korrekte Bereinigung der übergebenen Parameter vor ("sanitization"), sodass beliebige Befehle übergeben werden können.

Foscam hat die Schwachstellen in Zusammenarbeit mit VDOO behoben. Die jeweils aktuelle Firmware-Version für verschiedene Kameramodelle kann dem Blogpost entnommen werden. Bereits im vergangenen Jahr hatte Foscam mehrere Sicherheitslücken behoben, die das finnische Unternehmen F-Secure entdeckt hatte.



Anzeige
Spiele-Angebote
  1. (PC-Spiele bis zu 85% reduziert)
  2. 39,99€
  3. 2,22€
  4. 2,49€

chefin 12. Jun 2018

wenn du etwas heute kaufst ja wenn etwas gestern gekauft nein. IPv6 nachrüsten ist ein...

schap23 11. Jun 2018

Bei vielen IoT-Geräten kann man auf eine Reaktion des Herstellers lange warten.


Folgen Sie uns
       


Cowboy Pedelec ausprobiert

Sportlich und minimalistisch - das Cowboy Pedelec ist jetzt auch in Deutschland verfügbar.

Cowboy Pedelec ausprobiert Video aufrufen
Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus
  2. Ingolstadt Audi vernetzt Autos mit Ampeln
  3. Wasserkühlung erforderlich Leistungshunger von Auto-Rechnern soll stark steigen

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

    •  /