Security Professionals - ipfw add deny all from eindgebruikers to any

Foscam onverklaard verkeer

13-10-2017, 09:16 door Do, 18 reacties
Goedemorgen,

Gisteren kwam ik er achter dat mijn Foscam FI8953EP IP Camera wat vreemd verkeer initieert.
Het stuur gisteren over UDP/8081, en vandaag over UDP/8082 naar 45.33.37.87 (li987-87.members.linode.com).
Dit gebeurd meerdere malen per minuut.
Via mijn Fortigate een sniffer aangezet, maar van de inhoud van het pakket wordt ik niet veel wijzer.

Foscam zelf maar eens benaderd, zij weten van niets, en kennen het Linode.com domein ook niet.

Als jullie dit lezen, wat denken jullie dan?
Reacties (18)
13-10-2017, 09:44 door Anoniem
Dat je camera gehacked is en nu contact opneemt met de command and control server die iemand heeft ondergebracht
bij zo'n fijne virtual server hoster die het weinig kan schelen wat de klanten allemaal uitvreten...
13-10-2017, 09:54 door Anoniem
http://foscam.us/forum/foscam-ip-camera-is-sending-data-to-unknown-ip-addresses-t5684.html
13-10-2017, 09:57 door Anoniem
Doe eens een 'whois linode.com'.
Kijk eens op linode dot com.

Maakt dat e.e.a. duidelijker? Of juist niet?
Of is wellicht de prefix, die 987-87.members ook weer fake/gespoofed?

Wie zal het zeggen?
13-10-2017, 10:04 door CSO.
http://foscam.us/forum/why-is-my-camera-trying-to-contact-some-host-at-linode-org-t4729.html
13-10-2017, 10:14 door Anoniem
Als jullie dit lezen, wat denken jullie dan?
Dat ik die camera onmiddelijk offline zou halen tot duidelijk is wat er gaande is. Als de leverancier niet kan vertellen wat dat voor verkeer is dan zou ik ervan uitgaan dat dat ding malware heeft opgelopen en dingen de wereld in stuurt waar jij niet om gevraagd hebt.

Hoe zo'n besmetting weer te verwijderen is weet ik niet. Zorg in de toekomst, als je nog eens aan zo'n ding begint, dat je firewalls zo instelt dat ze alleen het verkeer toestaan dat zo'n ding legitiem doet (beelden afleveren, firmware ophalen bij de fabrikant). Bekijk dat soort zaken voor je het aanschaft. Over het algemeen kan je gebruiksaanwijzingen downloaden. Als die niet beschikbaar zijn of als dit soort informatie er niet duidelijk in staat, zoek dan verder naar iets beters.
13-10-2017, 10:15 door Anoniem
Soortgelijke vragen:
http://foscam.us/forum/foscam-ip-camera-is-sending-data-to-unknown-ip-addresses-t5684.html
https://forums.zoneminder.com/viewtopic.php?t=20868

Gebruik een volwaardige packetanalyzer (Wireshark bijvoorbeeld) om te zien wat de inhoud is van het verkeer, welke protocollen er worden gebruikt (bijvoorbeeld DDNS) en waarvandaan geinitieerd wordt. Er is een zendpoort en een ontvangstpoort per packet, het onderscheid is van belang te weten om te kunnen beoordelen wat er gebeurt. Kijk eens of je markers van plaatjes kunt ontdekken in de packets. Bijvoorbeeld JFIF voor jpeg. Als het te klein is voor plaatjes, kijk dan eens wat voor verkeer er is met of vanaf de camera na een herstart. Misschien zie je een DNS packet langs komen waaruit je de naam van het IP adres kunt halen.

Sowieso kun je er beter voor zorgen dat niemand vanaf Internet bij je camera kan behalve je eigen IP's. Als het verkeer van buiten kan komen zou het kunnen dat de camera direct op Internet is aangesloten. Dat is gevaarlijk.

Het is bekend dat Foscam camera's die niet up-to-date zijn gehackt kunnen worden. Probeer daarom -na de oorzakelijke tests- om nieuwe firmware te installeren. Dat kan zowel een mogelijk lek als een besmette camera oplossen.
13-10-2017, 11:13 door ph-cofi
13-10-2017, 11:21 door Do
Door Anoniem:
Als jullie dit lezen, wat denken jullie dan?
Dat ik die camera onmiddelijk offline zou halen tot duidelijk is wat er gaande is. Als de leverancier niet kan vertellen wat dat voor verkeer is dan zou ik ervan uitgaan dat dat ding malware heeft opgelopen en dingen de wereld in stuurt waar jij niet om gevraagd hebt.

Hoe zo'n besmetting weer te verwijderen is weet ik niet. Zorg in de toekomst, als je nog eens aan zo'n ding begint, dat je firewalls zo instelt dat ze alleen het verkeer toestaan dat zo'n ding legitiem doet (beelden afleveren, firmware ophalen bij de fabrikant). Bekijk dat soort zaken voor je het aanschaft. Over het algemeen kan je gebruiksaanwijzingen downloaden. Als die niet beschikbaar zijn of als dit soort informatie er niet duidelijk in staat, zoek dan verder naar iets beters.

Camera hangt nu in een VLAN die volledig gescheiden is van de rest van mijn netwerk.
Voor zover ik weet heb ik nooit een NAT uitgevoerd richting de Foscam, waarmee deze afgescheiden zou zijn voor het internet voor inbound sessies.
Dat die camera een keer gehackt wordt zit er dik in (daarom ook afgescheiden), deze goedkope partijen staan er bekend om dat hun firmware vol zit met vulnerabilities. Security is een lagere prioriteit bij dit soort bedrijven.

Door CSO.: http://foscam.us/forum/why-is-my-camera-trying-to-contact-some-host-at-linode-org-t4729.html
Hier wordt uiteindelijk gemeld dat Firefox via TCP/HTTP een verbinding maakt met een server in het Linode domein.
Ik heb het specifiek van een verbinding die wordt geïnitieerd van de Foscam richting dat target over UDP/8081 of 8082.

Door Anoniem: Dat je camera gehacked is en nu contact opneemt met de command and control server die iemand heeft ondergebracht
bij zo'n fijne virtual server hoster die het weinig kan schelen wat de klanten allemaal uitvreten...
In die richting dacht ik ook, vraag me dan wel of hoe die software erin is gekomen als dit echt het geval is.
Zou dan vermoeden dat iemand een backdoor in in ieder geval de laatste update heeft geschreven in de originele firmware, i.e. Foscam zou dan gehackt zijn, waarmee iedereen met deze versie dat issue zou hebben. Zou snel opgemerkt worden lijkt me.
13-10-2017, 11:30 door Do
Door ph-cofi: Ik denk dat een hack/besmetting niet per se van toepassing is, want de Foscam doet e.e.a. by design:
https://thenewstack.io/snooping-webcam-reveals-security-dangers-internet-things/
http://krebsonsecurity.com/2016/02/this-is-why-people-fear-the-internet-of-things/

Dat is interessant. Ongeveer het zelfde fenomeen lijkt bij mij plaats te vinden.
Toch zou het absurd zijn als het
a) niet uit te schakelen is, en
b) het verkeer wordt gedropt bij een non-Foscam domein.

Jammer dat in die artikelen de port nummers niet genoemd werden.
13-10-2017, 11:50 door Anoniem
Door Do: Goedemorgen,

Gisteren kwam ik er achter dat mijn Foscam FI8953EP IP Camera wat vreemd verkeer initieert.
Het stuur gisteren over UDP/8081, en vandaag over UDP/8082 naar 45.33.37.87 (li987-87.members.linode.com).
Dit gebeurd meerdere malen per minuut.
Via mijn Fortigate een sniffer aangezet, maar van de inhoud van het pakket wordt ik niet veel wijzer.

Foscam zelf maar eens benaderd, zij weten van niets, en kennen het Linode.com domein ook niet.

Als jullie dit lezen, wat denken jullie dan?

Vaak hebben dit soort devices een 'toegang van buiten' optie [bedoeld voor de eigenaar] .
Omdat eindgebruikers dingen als portforwards laten instellen, of hun eigen publieke IP kennen niet werkt, meldt de camera zich aan op een 'centraal punt' , en kunnen gebruikers de camera daar weer terugvinden - en eventueel terugconnecten.

Zo'n UDP pakket kan ook een STUN (nat-detectie) pakket zijn, volgens de RFC of een eigen protocol .
(https://en.wikipedia.org/wiki/STUN )

Door met zo'n pakket een NAT-entry te maken kan retourverkeer ook uitkomen bij de camera.

Ik denk dus dat het verkeer een combinatie van 'aanmelden' en 'NAT traversal' is .

Ik zou *alle* verkeer sniffen, (en de camera even aan en uit zetten) want de kans is erg groot dat dat adres bij linode _ook_ een echte hostnaam heeft , en dat de camera die eerst resolved . Kijk dus naar de DNS lookups van de camera.
Alleen de reverse DNS is dan van de cloud provider.
13-10-2017, 12:13 door Bitwiper
Door Do: Voor zover ik weet heb ik nooit een NAT uitgevoerd richting de Foscam, waarmee deze afgescheiden zou zijn voor het internet voor inbound sessies.
UPNP? Google: foscam upnp
Bijv. http://foscam.us/forum/please-always-disable-upnp-in-your-camera-here-is-why-t7282.html
13-10-2017, 12:26 door Briolet
Door Anoniem: Soortgelijke vragen:
https://forums.zoneminder.com/viewtopic.php?t=20868

Dat klinkt niet goed bij P2P als die instelling ook blijft werken als het uitgezet wordt. In mijn Foscam heb ik indertijd als eerste de P2P functie uitgezet.

Hier heb ik het IP adres van mijn camera op de blocklist van de router gezet, zodat ik zeker weet (denk te weten) dat hij nooit met de buitenwereld praat. Voor firmware updates is dat geen probleem, want die worden by design, eerst naar de locale PC gedownload en vanaf daar naar de camera gestuurd.
13-10-2017, 14:56 door evasive
en je weet heel zeker dat het die camera zelf is?
https://support.mozilla.org/en-US/questions/685996
en dan:
https://addons.mozilla.org/en-US/firefox/addon/googlesharing/

heb je die add-on in gebruik?
13-10-2017, 16:27 door Do
Door Bitwiper:
Door Do: Voor zover ik weet heb ik nooit een NAT uitgevoerd richting de Foscam, waarmee deze afgescheiden zou zijn voor het internet voor inbound sessies.
UPNP? Google: foscam upnp
Bijv. http://foscam.us/forum/please-always-disable-upnp-in-your-camera-here-is-why-t7282.html
Staat uitgeschakeld, maar zo langzamerhand kom ik erachter dat dit met Foscam überhaupt de vraag is of de cam daar gehoor aan geeft.
13-10-2017, 16:56 door Do
Ben achter de oorzaak.

DDNS stond bij mij uitgeschakeld, echter is dit buggy, als deze uitgeschakeld wordt op de GUI, hoeft deze niet daadwerkelijk uitgeschakeld te zijn zo merk ik op.

Echter met een beetje spelen kwam ik uit op het volgende.
Wanneer ik een sniffer draai op mijn Fortigate vind het volgende plaats.

1. DDNS staat uit, en deze ga ik activeren.
2. Eenmaal geactiveerd, stuurt de Foscam een DNS Request naar de DNS server voor dddns.myfoscam.org
3. DNS server (Google in mijn geval) replied terug met een IP uit het Linode domein.
4. Foscam initieert UDP traffic naar dat IP.

Dominics-MacBook-Pro:~ dominic$ ping ddns.myfoscam.org
PING ddns.myfoscam.org (66.175.220.161): 56 data bytes
92 bytes from li515-161.members.linode.com (66.175.220.161)

Maar... dit gebeurd dus ook wanneer DDNS uit staat (dit was bij mij hiervoor het geval).
Vreemd dat Foscam dit stukje documentatie lijkt te verbergen (ik lees dit nergens concreet in terug).
13-10-2017, 21:35 door Anoniem
Dag Do,

Firmware al eens geupdated naar de nieuwste versie?
En is het niet camera type FI9853EP in plaats van FI8953EP?

Hier staan wat mogelijke aanvallen in tegen Foscam camera's:
https://rampartssecurity.com/docs/Exploiting-Foscam-IP-Cameras.pdf
Het is dus wel zaak van bedachtzaam omgaan met dat spul.
13-10-2017, 21:36 door Briolet
"ddns.myfoscam.org" en "i515-161.members.linode.com" zijn dus twee url's voor hetzelfde IP adres.

Echter, het is wel een ander IP dan in je openingspost. Ik denk dan eerder dat dit een andere dienst van de camera is, die ook bij linode.com ondergebracht is. En dat de ddns dienst wel uit staat als dat ingesteld is.
14-10-2017, 08:11 door Do - Bijgewerkt: 14-10-2017, 08:12
Door Briolet: "ddns.myfoscam.org" en "i515-161.members.linode.com" zijn dus twee url's voor hetzelfde IP adres.

Echter, het is wel een ander IP dan in je openingspost. Ik denk dan eerder dat dit een andere dienst van de camera is, die ook bij linode.com ondergebracht is. En dat de ddns dienst wel uit staat als dat ingesteld is.

Dat is niet zo gek dat de URL niet resolved naar hetzelfde IP.
Kan talloze doeleinden voor hebben, bv. niet miljoenen camera's naar 1 IP adres sturen....

Door Anoniem: Dag Do,

Firmware al eens geupdated naar de nieuwste versie?
En is het niet camera type FI9853EP in plaats van FI8953EP?

Hier staan wat mogelijke aanvallen in tegen Foscam camera's:
https://rampartssecurity.com/docs/Exploiting-Foscam-IP-Cameras.pdf
Het is dus wel zaak van bedachtzaam omgaan met dat spul.

Klopt inderdaad, is inderdaad de FI9853EP.
Interessante PDF, ik ga 'm eens doornemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.