Fejl i D-Link-firmware kan tillade IP-video stream spionering

Hvis du driver en bank og bruger et IP-videokamera fra D-Link, kan du være opmærksom på dette.

En række IP-baserede overvågningskameraer Core Security, et firma med hjemsted i Boston, der er specialiseret i sårbarhedsdetektering og -forskning, offentliggjort på mandag detaljer om fem sårbarheder i D-Link's firmware, der er pakket ind i mindst 14 af sine produkter.

[Yderligere læsning: De bedste overspændingsbeskyttere til din kostbare elektronik]

D-Link gør en række internetforbundne kameraer, som den sælger til virksomheder og forbrugere. Kameraerne kan optage billeder og video og styres via webbaserede kontrolpaneler. Live-feeds kan ses på nogle mobile enheder.

En af de sårbare modeller, DCS-5605 / DCS-5635, har en bevægelsesdetekteringsfunktion, som D-Link antyder i sine markedsføringsmateriel ville være godt for banker, hospitaler og kontorer.

Core Securitys forskere fandt det muligt at få adgang til en levende videostream via RTSP (real-time streaming protokol) samt en ASCII-udgang fra en videostream i de berørte modeller uden autentificering. RTSP er en applikationsniveau protokol til overførsel af data i realtid, ifølge Internet Engineering Task Force.

Forskerne fandt også et problem med det webbaserede kontrolpanel, der ville give en hacker mulighed for at indtaste vilkårlig kommandoer. I en anden fejl, D-Link hardkodede login credentials i firmwaren, som "effektivt fungerer som en bagdør, som gør det muligt for fjernangribere at få adgang til RTSP-videostrømmen," sagde Core Security i sin rådgivning.

De tekniske detaljer er beskrevet i et indlæg i sektionen Full disclosure i Seclists.org sammen med en liste over de kendte berørte produkter, hvoraf nogle er blevet udfaset af D-Link.

Core Security anmeldt D-Link af problemet den 29. marts, ifølge en logbog over de to selskabers interaktion inkluderet i udgivelsen på Fuld Disclosure. Loggen, skrevet af Core, indeholder interessante detaljer om, hvordan de to virksomheder svarede og tilsyneladende havde et par uenigheder.

Ifølge Core sagde D-Link, at det havde et "upubliceret bounty-program for sikkerhedsleverandører." Mange virksomheder har fejlprogrammer, der belønner forskere med kontanter eller andre incitamenter til at finde sikkerhedsproblemer i deres produkter og informere dem, inden de offentliggør oplysningerne.

D-Link anmodede om 20. marts om at Core Security underskrev et "notat om forståelse" som en del af programmet, hvilket Core afvist. Vilkårene i notatet blev ikke beskrevet. Core fortalte D-Link, "at der modtages penge fra leverandører, kan påvirke visningen af ​​rapporten."

De to virksomheder havde en anden mindre indløb. D-Link fortalte Core at det ville frigive patches og vejledning for at løse problemerne på D-Link Support Forum. D-Link vil derefter vente en måned før offentliggørelse.

Core Security kunne ikke lide det forslag. I sidste onsdag anmodede Core D-Link "for en præcisering af D-Link udgivelsesdato og meddeler, at frigivelse af rettelser til en privilegeret lukket gruppe og / eller et lukket forum eller en liste er uacceptabel."

D-Links forum har et login-felt, men det ser ud til, at alle kan se mange af indlægene uden at registrere dem. D-Link kom tilbage en dag senere og sagde, at patches er klar og ville blive sendt på sit websted "over de næste par dage", skrev Core.

D-Link reagerede ikke straks på anmodninger om kommentar. Det var uklart fra virksomhedens supportforum, hvis firmwareopdateringerne var blevet offentliggjort endnu.

Core Security krediterede sine forskere Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria og Fernando Miranda med at finde problemerne. >