GeoVision, un fabricant taïwanais de systèmes de vidéosurveillance et de caméras IP, a récemment corrigé trois des quatre failles critiques affectant ses scanners de cartes et d’empreintes digitales qui auraient pu permettre aux attaquants d’intercepter le trafic réseau et de lancer des attaques de type homme du milieu.
Dans un rapport partagé exclusivement avec The Hacker News, la société de sécurité d’entreprise Acronis a déclaré avoir découvert les vulnérabilités l’année dernière à la suite d’un audit de sécurité de routine d’un grand détaillant basé à Singapour.
« Les attaquants malveillants peuvent établir la persistance sur le réseau et espionner les utilisateurs internes, voler des données – sans jamais être détectés », Acronis m’a dit. « Ils peuvent réutiliser vos données d’empreintes digitales pour entrer dans votre maison et / ou vos appareils personnels, et les photos peuvent être facilement réutilisées par des acteurs malveillants pour perpétrer un vol d’identité basé sur des données biométriques. »
Au total, les failles affectent au moins 6 familles d’appareils, avec plus de 2500 appareils vulnérables découverts en ligne au Brésil, aux États-Unis, en Allemagne, à Taïwan et au Japon, à l’exception de milliers d’autres appareils pouvant être compromis à distance.
Le premier problème concerne un mot de passe root précédemment non documenté qui permet à un attaquant d’accéder par la porte dérobée à un appareil en utilisant simplement le mot de passe par défaut (« admin ») et en se connectant à distance à l’appareil vulnérable (par exemple, https: //ip.of.the. périphérique / isshd.htm).
Une deuxième faille implique l’utilisation de clés privées cryptographiques partagées codées en dur lors de l’authentification via SSH, tandis qu’une troisième vulnérabilité permet d’accéder aux journaux système sur l’appareil (par exemple, à https: //ip.of.the.device/messages.txt et à https: //ip.of.the.device/messages.old.txt) sans aucune authentification.
Enfin, il existe un vulnérabilité de dépassement de tampon dans le firmware impactant les lecteurs d’empreintes digitales de GeoVision qui permet aux attaquants d’exécuter du code non autorisé sur les appareils. Il ne nécessite aucune authentification préalable. Encore plus troublant, il a une cote CVSS de 10, ce qui en fait un défaut critique.
Acronis a déclaré qu’il avait initialement contacté GeoVision en août dernier, puis deux fois en septembre et décembre, en plus de contacter SingCERT avec ses conclusions. Mais ce n’est qu’au début de ce mois que GeoVision a publié des correctifs pour trois des failles (version 1.22) tout en laissant la vulnérabilité de débordement de tampon non corrigée.
Les failles ont également été reconnues par l’équipe de réponse aux urgences informatiques de Taiwan (TWCERT), qui a publié des avis pour les trois bogues – CVE-2020-3928, CVE-2020-3929, et CVE-2020-3930 – confirmer les correctifs du firmware et la disponibilité de la nouvelle version.
En outre, sans divulguer d’informations techniques sur la quatrième faille critique d’exécution de code à distance que la société n’a pas corrigée, nous pouvons mentionner qu’elle pourrait permettre aux attaquants de tirer parti d’un paramètre vulnérable pour écraser les structures de mémoire responsables de la gestion de la mémoire.
La faille écrase finalement les pointeurs dans des structures particulières, permettant aux attaquants de rediriger le flux d’exécution du programme vers leur propre code malveillant et d’exécuter différentes commandes.
Nous avons contacté GeoVision pour lui demander son commentaire sur les divulgations, mais nous n’avons reçu aucune réponse avant la publication de cet article.
« Une fois que l’attaquant a le contrôle total sur l’appareil, il / elle est libre d’installer son propre micrologiciel malveillant – après quoi il sera presque impossible de les expulser du réseau », a déclaré Kevin Reed d’Acronis CISO CISO et Alex Koshelev, chercheur en sécurité.
« C’est assez surréaliste de voir certains fournisseurs ne pas se précipiter pour corriger des vulnérabilités critiques – en plus de la faible qualité du code source initial, la présence de portes dérobées est préoccupante. Cela montre que la sécurité de l’IoT est défectueuse, et chaque entreprise doit comprendre que l’utilisation de tels les appareils peuvent les exposer à des risques non atténués prolongés. «
//