image

'38.000 end-of-life ip-camera's fabrikant AVTech benaderbaar vanaf internet'

maandag 9 september 2024, 14:05 door Redactie, 10 reacties

Zo'n 38.000 ip-camera's van fabrikant AVTech die end-of-life zijn, en daardoor geen beveiligingsupdates meer ontvangen, zijn vanaf internet benaderbaar. Dat stelt securitybedrijf Censys. Eind augustus werd bekend dat ip-camera's van AVTech al sinds maart via een kwetsbaarheid met malware worden besmet en zo onderdeel van een botnet worden dat ddos-aanvallen uitvoert.

De kwetsbaarheid wordt aangeduid als CVE-2024-7029. Proof of concept (PoC) exploitcode om misbruik van het beveiligingslek te maken is al sinds 2019 openbaar. Tot deze maand had de kwetsbaarheid nog geen CVE-nummer toegekend gekregen. Via de kwetsbaarheid kan een aanvaller op afstand willekeurige code op ip-camera's van AV-Tech uitvoeren.

Volgens internetbedrijf Akamai gaat het onder andere om de AVM1203, die niet meer door AVTech wordt ondersteund. Voor deze camera zal dan ook geen update verschijnen en gebruikers doen er verstandig aan om het apparaat te vervangen, aldus het internetbedrijf. Censys voerde een online scan uit en detecteerde 38.000 AVTech-camera's. "Niet al deze camera's zijn per definitie kwetsbaar voor deze CVE, maar het zijn allemaal end-of-life producten die niet blootgesteld aan internet zouden moeten zijn", zo stellen de onderzoekers.

Reacties (10)
09-09-2024, 15:15 door Anoniem
Vroegerrrr kon je er nog van uit gaan dat een gekocht apparaat minstens 10 jaar meeging. Als de elektronica het 10 jaar uithoud, dan is wel de beperkte software-update-periode (scrabble) die de omzet voor de fabrikant garandeert.

Het hebben over een minimale periode waarop software updates verplicht zijn is al een lastige discussie. Maar voor dit soort security zaken zou de fysieke levensduur moeten gaan gelden.
09-09-2024, 15:17 door Anoniem
Ik kan nergens vinden hoelang dit model al op de markt is. Waneer was de releasedat van AVM1203? Ik zie support voor xp.
Ook het feit dat ze nu een cve toewijzen aan een poc van 2019 laat zien dat deze securitycam producent de security niet serieus neemt. Dat terwijl het een van de bekendere/betere beveiligings camera's heeft.
09-09-2024, 15:32 door Anoniem
Laatst ook al gedoe met Verkada, Motorola, Wyze, Zavio en Hikvision. Welke merken IP camera's zijn eigenlijk nog oké?
09-09-2024, 17:30 door Anoniem
Allemaal gemaakt voor zo snel mogelijk, zo goedkoop mogelijk en dan zoveel mogelijk domme features in de software frotten wat in het geheugen past en waarbij de cpu niet crasht en voila, je hebt 75% van de ip cams te pakken.
09-09-2024, 20:07 door Anoniem
Door Anoniem: Vroegerrrr kon je er nog van uit gaan dat een gekocht apparaat minstens 10 jaar meeging. Als de elektronica het 10 jaar uithoud, dan is wel de beperkte software-update-periode (scrabble) die de omzet voor de fabrikant garandeert.

Het hebben over een minimale periode waarop software updates verplicht zijn is al een lastige discussie. Maar voor dit soort security zaken zou de fysieke levensduur moeten gaan gelden.
Dat kan nog steeds, met een Raspberry, RPI camera, vrije software en offline, men moet gewoon de juiste producten kopen die mensen inafhankelijk houden en de proprietaire troep vermijden.
09-09-2024, 22:08 door Anoniem
Door Anoniem: Laatst ook al gedoe met Verkada, Motorola, Wyze, Zavio en Hikvision. Welke merken IP camera's zijn eigenlijk nog oké?
Wat mij verbaast is dat kennelijk al die IP-camera's in netwerken zitten die vanaf het internet toegankelijk zijn. Moet daar niet iets voor zitten dat de toegang blokkeert?
10-09-2024, 08:49 door Anoniem
Door Anoniem: Ik kan nergens vinden hoelang dit model al op de markt is..

Het Product Dimension document van deze camera is van februari 2017, de laatste versie van de datasheet is van november 2017. Ik denk dat deze camera ergens in het voorjaar van 2017 op de markt kwam.

AVtech heeft vandaag nieuwe firmware voor deze camera uitgebracht (versie 1024, gedateerd 5 september).. Genoemde documenten en de nieuwe firmware vind je hier: https://www.avtech.com.tw/Search.aspx?Key=AVM1203

Ik vraag mij overigens af sinds wanneer AVTech weet heeft van deze kwetsbaarheid.
10-09-2024, 10:10 door Anoniem
Door Anoniem:
Door Anoniem: Laatst ook al gedoe met Verkada, Motorola, Wyze, Zavio en Hikvision. Welke merken IP camera's zijn eigenlijk nog oké?
Wat mij verbaast is dat kennelijk al die IP-camera's in netwerken zitten die vanaf het internet toegankelijk zijn. Moet daar niet iets voor zitten dat de toegang blokkeert?
Er zijn genoeg mensen die maar net begrijpen hoe ze een poort in hun router open moeten zetten omdat ze graag de camerabeelden willen zien als ze niet thuis zijn. Voor hun geldt 'security by obscurity': 'Ze weten m'n IP adres toch niet'.
Ja, dat is een voorbeeld dat ik meerdere keren in de praktijk heb gezien.
10-09-2024, 10:20 door Anoniem
Door Anoniem:
Door Anoniem: Vroegerrrr kon je er nog van uit gaan dat een gekocht apparaat minstens 10 jaar meeging. Als de elektronica het 10 jaar uithoud, dan is wel de beperkte software-update-periode (scrabble) die de omzet voor de fabrikant garandeert.

Het hebben over een minimale periode waarop software updates verplicht zijn is al een lastige discussie. Maar voor dit soort security zaken zou de fysieke levensduur moeten gaan gelden.
Dat kan nog steeds, met een Raspberry, RPI camera, vrije software en offline, men moet gewoon de juiste producten kopen die mensen inafhankelijk houden en de proprietaire troep vermijden.

Anoniem van 15:15,
Heb ik ook, leuk spul. Maar niet voor de gemiddelde gebruiker.
10-09-2024, 10:21 door Anoniem
Door Anoniem:
Door Anoniem: Laatst ook al gedoe met Verkada, Motorola, Wyze, Zavio en Hikvision. Welke merken IP camera's zijn eigenlijk nog oké?
Wat mij verbaast is dat kennelijk al die IP-camera's in netwerken zitten die vanaf het internet toegankelijk zijn. Moet daar niet iets voor zitten dat de toegang blokkeert?
Bij ouderwetse camera's was de enige manier om vanaf afstand je camera te benaderen: een poort "open zetten" in je router.
Dat kon die camera vaak ook wel zelf regelen als UPnP op je router enabled is.

Moderne camera's werken meestal anders: de camera maakt een connectie met een cloud server, een uitgaande connectie dus die je router default toelaat.
Als gebruiker maak je ook connectie met die cloud server en dan kun je bij je camera.

Beide methoden hebben voor- en nadelen. Bij directe toegang is er meer risico als de camera vulnerabilities blijkt te bevatten, in de cloud oplossing is alles veilig tot de cloud server vulnerabilities heeft, maar die kan de fabrikant met een update van de cloud server oplossen, is dus niet afhankelijk van die vele camera's die overal al hangen en waar de eigenaar nooit een update op doet (als dat niet automatisch gaat).

Nadeel van de cloud oplossing is dat als de fabrikant besluit om de camera niet meer te ondersteunen, of als de fabrikant failliet gaat, je helemaal niet meer bij die camera kunt en je hem wel MOET vervangen. "op eigen risico" er mee door werken kan dan niet.

Uiteraard moet je dit soort apparaten intern wel altijd op een apart netwerk aansluiten. In een moderne router kun je extra netwerken aanmaken en die configureren voor welke poorten en welke SSID op dat netwerk zitten.
Je voorkomt dan het risico dat een trojan op je PC een connectie maakt met je camera "op hetzelfde netwerk", en ook omgekeerd (je besmette camera valt je PC aan).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.