image

Lekken in Foscam ip-camera’s kunnen aanvaller laten meekijken

woensdag 7 juni 2017, 11:42 door Redactie, 4 reacties

Onderzoekers van het Finse anti-virusbedrijf F-Secure hebben meerdere kwetsbaarheden in twee ip-camera's van de Chinese fabrikant Foscam ontdekt waardoor aanvallers op afstand kunnen meekijken en volledige controle over de apparaten kunnen krijgen en updates zijn nog niet beschikbaar.

Het gaat in totaal om 18 beveiligingslekken, zoals een onveilig standaardwachtwoord, een leeg wachtwoord voor de ftp-server, een hardcoded ftp-wachtwoord, verborgen inloggegevens voor de webinterface, een verborgen Telnet-functionaliteit, de mogelijkheid om op afstand commando's met rootrechten te injecteren, een firewall die niet alle diensten afschermt en geen beperking op het aantal inlogpogingen.

Een aanvaller kan deze kwetsbaarheden gebruiken om op afstand het apparaat over te nemen, zo laat F-Secure in het rapport weten (pdf). De beveiligingslekken zijn aanwezig in de Opticam i5 en Foscam C2. Mogelijk lopen nog veel meer camera's risico. De producten van Foscam worden ook onder andere namen aangeboden, zoals Thomson, Netis, Qcam en Turbox. Foscam werd maanden geleden ingelicht, maar heeft nog altijd geen updates uitgebracht.

Reacties (4)
07-06-2017, 11:55 door Anoniem
Tijd voor standaardisatie van iot security frameworks en andere kleine IP stacks

Het is van de zotte dat elke fabrikant zijn eigen ip stack in elkaar knutselt om een product te laten werken ....


Daar zou de overheid (EU werkgroep, iemand?) iets mee moeten doen. Daar kun je nog écht wat aan bijdragen voor iedereen, een hoop aanvallen uit de weg gaan, en goedkope Ali Baba rommel weren. Hmm... bovendien een heel bevredigendeind baan voor iemand in de IT sec

Gewoon zelf het heft in handen nemen en met gelijkgezinden naar Brussel stappen
07-06-2017, 12:00 door Anoniem
eyecloud cam wellicht ook?
https://www.eagleeyenetworks.com/product/cloud-security-camera-system-vms/
07-06-2017, 12:05 door Anoniem
IoT armageddon is starting.....
08-06-2017, 23:16 door ph-cofi - Bijgewerkt: 08-06-2017, 23:17
Door Anoniem: Tijd voor standaardisatie van iot security frameworks en andere kleine IP stacks

Het is van de zotte dat elke fabrikant zijn eigen ip stack in elkaar knutselt om een product te laten werken ....


Daar zou de overheid (EU werkgroep, iemand?) iets mee moeten doen. Daar kun je nog écht wat aan bijdragen voor iedereen, een hoop aanvallen uit de weg gaan, en goedkope Ali Baba rommel weren. Hmm... bovendien een heel bevredigendeind baan voor iemand in de IT sec

Gewoon zelf het heft in handen nemen en met gelijkgezinden naar Brussel stappen
Zo dus??
https://www.security.nl/posting/518709/Agentschap+Telecom%3A+IoT-apparaten+moeten+veiliger

Slordig overigens, Foscam is een redelijk duur merk in NL. We mogen toch wel op zijn minst een reactie verwachten op 18 foutmeldingen. Winst voor alles.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.