Security News :: Информационно-аналитическое издание по техническим средствам и системам безопасности
Поиск Контакты Карта сайта
Security News :: информационно-аналитическое издание по техническим средствам и системам безопасности
Security News
Security Focus

Услуги размещения публикаций на сайте Security News
 
 Газета 
 Статьи 
 Зарубежные новости 
 Под знаком PR 
 Новости 
 События отрасли 
 Дайджест СМИ 
 Фоторепортажи 
 Книги 

Получайте новости Security News через Telegram

Получайте новости Security News через Telegram. Это самый оперативный способ читать их с любого устройства.



Security News





Библи видеонаблюдения - 3
Газета "Security News" / Зарубежные новости по системам безопасности / Новости индустрии

Крупнейший OEM-производитель систем видеонаблюдения Xiongmai «выходит из тени» из-за уязвимости его продукции


26.10.2018

Критическая уязвимость систем видеонаблюдения от китайской компании Xiongmai заставила всех узнать о существовании этого крупнейшего, но совершенно незаметного производителя. Компания продаёт свою продукцию только через OEM, и теперь многие пользователи постепенно узнают, что, оказывается, являются её заказчиками.

Общее число брендов, под которыми продаются изделия компании с полным именем Hangzhou Xiongmai Technology Co., — более 100. Возможно, это далеко не всё. Компания, производящая системы видеонаблюдения в огромных количествах, была абсолютно незаметна. Впервые она появилась в поле зрения специалистов два года назад из-за того, что на её продукции распространялся ботнет Mirai.

И вот теперь компания SEC Consult обнаружила критическую уязвимость продуктов Xiongmai, связанную с её облачным сервисом XMEye. Его использование разрешено во всех продуктах Xiongmai, причём по умолчанию. Доступ к удалённым камерам через этот облачный сервис позволяет обходить межсетевые экраны.

Специалисты разбрались с тем, как каждому устройству Xiongmai приписывается идентификационный номер (ID), через который пользователь связывается с этим устройством. Оказалось, что он, несмотря на свою сложность (например, 68ab8124db83c8db), не является случайным, а строится по MAC-адресу, который, в свою очередь, содержит идентификаторы вендора и интерфейса. За счёт этого ID можно частично вычислить, а затем достроить подбором.

Исследователи проверили это, просканировав облачную инфраструктуру Xiongmai, и нашли 9 млн устройств с вычисляемыми ID. Несмотря на то, что они посылали по 33 тысячи запросов с одного IP-адреса, сканируемое облако не блокировало их — такой защиты в нём нет.

Далее исследователи определили, что доступ ко многим устройствам производится через логин admin с пустой строкой в качестве пароля. Такой «админ» может просматривать видеопоток, менять настройки и даже обновлять прошивки. Любой желающий может также использовать логин default («по умолчанию») с паролем tluafed (то же слово наоборот). Такой пользователь получает, как минимум, доступ к видеопотоку.

Получив доступ к устройству Xiongmai, злоумышленник может через обновление прошивки внедрить в него вредоносный код. В итоге он сможет смотреть видеоизображение и даже вступать со своей жертвой в двухстороннюю аудиосвязь. Другая возможность — проникнуть в локальную сеть организации и далее — в другие системы. Наконец, умелый хакер может организовать ботнет из устройств Xiongmai.

Возврат к списку

Передний край

АТАКА ДРОНОВ

В последние несколько лет активность вокруг беспилотников усилилась: цена, наконец, встала на одну доску с возможностями. В госструктурах появились консультанты с достаточно широким кругозором, и взоры начальства устремились в небо. Чтобы не нести громадные убытки от лесных пожаров, может быть, следует запустить по продуманному маршруту дрон с тепловизионной камерой? Собственно говоря, почему бы нет, если финансирование позволяет. Появились перспективы окупаемости беспилотников и в качестве бизнес-вложений.

ДРОНЫ: НАЙТИ И ОБЕЗВРЕДИТЬ

Обзор технологий обнаружения и обезвреживания БПЛА. Бум беспилотных летательных аппаратов затронул и индустрию безопасности. Вполне возможно, что вскоре появится спрос на решения по организации «малой противовоздушной обороны» объектов.

ОПЕРАЦИИ КГБ В БРАЗИЛИИ

Спустя некоторое время Security News возвращается к невероятной истории о том, как безопасник из Якутска организовал успешный бизнес на другом конце земного шара. Сегодня наш герой бегло говорит на бразильской разновидности португальского, прекрасно ориентируется в обстановке — и по-прежнему дико занят, полон энергии и сил. И ему по-прежнему везёт. Впрочем, за этим везением стоит чисто русская смекалка, упорный труд и редкий для соотечественников оптимизм.

RSSRSS
Присоединиться в ТвиттереTwitter
Присоединиться в FacebookTelegram
Присоединиться в LinkedInLinkedIn
Присоединиться в FacebookFacebook
Присоединиться в Google+Google+
Присоединиться ВКонтактеВКонтакте
Присоединиться в YoutubeYouTube
Присоединиться в ОдноклассникиОдноклассники
Присоединиться в LiveJournaLiveJournal

Книжная полка


IP-видеонаблюдение: наглядное пособие

IP-видеонаблюдение: наглядное пособие




Как правильно хранить, воспроизводить и стирать изображения систем видеонаблюдения

Как правильно хранить, воспроизводить и стирать изображения систем видеонаблюдения




Руководство по применению камер видеонаблюдения

Руководство по применению камер видеонаблюдения




Руководство по составлению эксплуатационных требований к системам видеонаблюдения

Руководство по составлению эксплуатационных требований к системам видеонаблюдения



Hits 61089497
5033
Hosts 5412304
673
Visitors 10235217
1194

29

© ИА «Безопасность Сегодня», 2017.
© «Секьюрити Фокус», 2001-2016.
Свидетельство о регистрации электронного СМИ SECURITY NEWS ЭЛ № ФС 77-33582