F-Secure publicó la semana pasada un articulo con un largo listado de vulnerabilidades en las cámaras IP del fabricante Foscam.
Los investigadores de F-Secure han documentado ni más ni menos que 18 vulnerabilidades distintas en los productos de Foscam, aunque han preferido no publicar ejemplos prácticos para usar esas vulnerabilidades (proof of concept) puesto que unos meses después de haber advertido a Foscam de los problemas de seguridad en sus productos, no existe todavía actualización para ninguno de sus productos.
The sheer number of vulnerabilities offers an attacker multiple alternatives in compromising the device. Among the discovered vulnerabilities are insecure default credentials and hard-coded credentials, both of which make it trivial for an attacker to gain unauthorized access. Other vulnerabilities allow for remote command injection by an attacker. World-writeable files and directories allow an attacker to modify the code and to gain root privileges. Hidden Telnet functionality allows an attacker to use Telnet to discover additional vulnerabilities in the device and within the surrounding network. In addition, the device’s “firewall” doesn’t behave as a firewall, and it also discloses information about the validity of credentials.
Entre el listado de vulnerabilidades hay de muy criticas, y se pueden destacar por ejemplo algunas tan absurdas como:
- Credenciales por defecto inseguras; el acceso web por defecto se realiza con la contraseña en blanco, y no se obliga al usuario a poner una contraseña.necesidad de contraseña.
- Credenciales fijas y sin posibilidad de modificarlas; el servidor de FTP de la cámara viene activo por defecto, con la contraseña en blanco, y sin posibilidad de modificarla.
- Credenciales fijas y ocultas para el interfaz web; además del usuario «admin» existen otros juegos de credenciales con acceso al interfaz web, sin posibilidad de eliminarlos o cambiarles la contraseña.
- Servidor y cliente de Telnet activo; no solo es posible acceder a la cámara via telnet, además con el cliente de Telnet del dispositivo se podría saltar después a otros sistemas conectados dentro de la misma red.
- La implementación de ONVIF de la cámara permite el acceso a usuarios anónimos, y puede usarse para ejecutar comandos en la cámara de manera remota.
- Scripts de inicio modificables; entre los scripts de inicio que se ejecutan existe uno (/mnt/mtd/boot.sh) con los permisos incorrectos por lo que cualquier usuario puede modificarlo, y dichos cambios son permanentes y sobreviven incluso al reinicio de la cámara.
- Y más problemas de permisos, el directorio /mnt/mtd/app contiene el software en ejecución de la cámara y tiene permisos de escritura para cualquier usuario, por lo que cualquiera puede añadir/modificar/eliminar ficheros para modificar la funcionalidad del sistema
En fin, que el listado de vulnerabilidades es largo, y no se hace necesario detallarlas todas. Foscam ha tenido aviso de todos estos problemas durante meses, no ha hecho nada por solucionarlos, y personalmente creo que cualquiera que piense que vayan a hacerlo puede esperar sentado.
Foscam simplemente debería ser considerado como un fabricante de cámaras domésticas que puedan ser usada como «baby monitor» o similar, pero Foscam no debería ser tomada en cuenta para un sistema de videovigilancia o seguridad serio.
Hay que tener en mente que incluso si a alguien no parezca preocuparle que cualquiera pueda entrar a ver su cámara («si a mi me da igual, la tengo mirando al jardín»), en este caso no solo está la problemática de que alguien pueda echarle un vistazo a nuestra cámara de manera remota, sino que desde esa cámara una atacante tendrá ya pie y medio dentro de nuestra red.