Une porte dérobée détectée dans 80 modèles de caméras Sony pourrait être exploitée par un botnet
Une porte dérobée détectée dans 80 modèles de caméras Sony pourrait être exploitée par un botnet
comme Mirai dans des attaques, un patch est fourni
Depuis que le botnet Mirai a frappé plusieurs plateformes après avoir détourné des milliers d’objets connectés, les chercheurs ont un regard plus prononcé sur les vulnérabilités de ces objets connectés à internet.
Récemment, SEC Consult, le consultant en sécurité a découvert une porte dérobée dans le firmware de 80 différents modèles de caméras Sony équipées de la technologie IPELA Engine IP. Cette technologie permet le traitement du signal et l’analyse de vidéo afin d’optimiser les systèmes de vidéosurveillance sur IP. Elles sont généralement utilisées par les entreprises et les autorités.
Selon les récentes découvertes faites par SEC Consult, « un attaquant peut utiliser les caméras pour s’implanter dans un réseau et lancer d’autres attaques, perturber la fonctionnalité de la caméra, envoyer des images/vidéos manipulées, ajouter des caméras dans un botnet de type Mirai ou tout simplement vous espionner ».
Pour parvenir à ces conclusions, SEC Consult a découvert une porte dérobée dans le firmware de ces caméras. Généralement, pour assurer la sécurité de ces appareils, les fabricants intègrent des mots de passe par défaut. Et pour ce qui concerne ces modèles de caméras de vidéosurveillance fabriquées par Sony, ils intègrent également deux mots de passe, mais SEC Consult est parvenu à déchiffrer un d’entre eux. Le premier est admin avec pour nom d’utilisateur admin et le second pour lequel le nom d’utilisateur est root n’a pas encore été déchiffré, mais ce n’est qu’une question temps, affirme l'entreprise.
À partir de là, les chercheurs ont utilisé plusieurs failles de sécurité pour prendre le contrôle de ces caméras. D’abord, ils ont utilisé des identifiants de comptes pour accéder à certaines fonctionnalités CGI non documentées. Ensuite, ils ont exécuté des requêtes HTTP pour activer le service Telnet. D’autres requêtes peuvent être soumises à l’effet d’activer le daemon SSH. Une fois le service à distance activé, les chercheurs ont pu accéder au Shell Linux avec des privilèges root en se connectant à Telnet ou SSH à travers la porte dérobée (nom d’utilisateur et mot de passe cracké). Il faut souligner qu’en plus de permettre un contrôle à distance de ces appareils, ces portes dérobées peuvent être utilisées localement pour accéder physiquement à un matériel en se connectant à travers le port série.
Pour SEC Consult, cette porte dérobée a été introduite dans le système de ces caméras probablement à des fins de débogage durant sa phase de développement ou encore pour des tests fonctionnels d’usine et non pour donner accès à de tierces parties non autorisées comme ce fut le cas pour Juniper ScreenOS. Toutefois, bien que les intentions premières soient louables, il n’en demeure pas moins que des personnes malveillantes pourraient faire la même démarche que les chercheurs de SEC Consult afin de prendre le contrôle de ces caméras. À partir de là, tous scénarios sont possibles. Aussi, quand on se souvient que des milliers d’objets connectés y compris des caméras de vidéosurveillance à distance ont été utilisées comme soldats pour soutenir les attaques qui ont frappé les infrastructures de Dyn, le fournisseur d’adresses IP dynamiques, l’appréhension est encore plus grande.
Ayant pris à cœur l’ampleur du problème, Sony a publié des correctifs d’urgence pour mettre à jour le firmware des appareils affectés par la faille découverte.
Télécharger les correctifs
Source : SEC Consult
Et vous ?
Voir aussi
Répondre avec citation
Partager