Mối đe doạ cho người dùng camera Avtech và thiết bị quan sát

Các phần mềm độc hại có thể sử dụng các camera giám sát để khởi động một cuộc tấn công DDoS, nguồn biên tập viên trực tuyến của Doug Olenick

Bài viết trích dẫn : ngày 10 Tháng 3 năm 2017.

Trend Micro mô tả mối đe dọa IoT DDoS mới

Avtech là thương hiệu camera do Đài Loan (và TQ) sản xuất đã có thời gian rất mạnh tại thị trường Việt Nam ,nhưng nay lại hoàn toàn "im lặng" với các phát hiện về lỗ hổng bảo mật ; có thể cho là Avtech sẽ có một cái tên mới ; còn về tên thương hiệu này thì ''xin lỗi'' các bạn =mấy anh tàu quảng đông chưa hề thua ai trong kinh doanh lập-lờ.

Trend Micro đang báo cáo (tháng 03 năm 2017 là lần thứ nhì sau lần đầu tiên khi nhận diện lỗ hổng bảo mật từ Avtech camera vào năm 2016 ) một mối đe dọa mới đối với các thiết bị Internet của IoT như nhà thông minh SmartHome ,như về điều khiển tự động ''automation'',liên thông mạng có khả năng khai thác một lỗ hổng cụ thể từ các camera giám sát và thiết bị CCTV do AvTech sản xuất khi kết nối vào IoT.

Mối đe dọa này được gọi tên là ELF_IMEIJ.A và ban đầu được t́ìm thấy bởi Search-Lab vào tháng 10 năm 2016 và đã gửi báo cáo với AVTech đúng thông lệ quốc tế.

Trend Micro cho biết Search-Labs đă không nhận được phản hồi về vấn đề này. Giống như Mirai, ELF_IMEIJ.A phần mềm độc hại này t́ìm kiếm thiết bị IOS không được bảo vệ, trong trường hợp ở đây là các camera quan sát quản lý, camera giám sát ,hệ thống giám sát an ninh.

Kẻ tấn công dễ dàng sử dụng tập lệnh cgi-bin để ngẫu nhiên cho việc t́ìm kiếm , truy vấn ra các địa chỉ IP cho một thiết bị dễ bị tấn công.

"Cụ thể, nó khai thác CloudSetup.cgi, lỗ hổng của AVTech CGI Directory đă được báo cáo, được biết, để thực hiện tiêm lệnh kích hoạt tải về phần mềm độc hại''.(injection)

Kẻ tấn công sẽ đánh-lừa thiết bị để tải về các tập tin độc hại và thay đổi các quyền-hạn của tập tin để thực hiện cho nó chạy ngay tại máy vừa truy cập ngay trong địa phương,

Trend Micro đã viết.

Cùng với khả năng chuyên sâu của Trend Micro cùng với Search-Labs hai nhà chuyên nghiệp này lưu-ý rằng mọi mật khẩu người dùng cho các sản phẩm AVTech được lưu trữ trong văn bản rõ ràng và kẻ tấn công có quyền truy cập vào thiết bị (chính nó), và có thể dễ dàng để có được danh sách đầy đủ các mật khẩu.

"Bằng cách khai thác các lệnh chèn lệnh hoặc các vấn đề bỏ qua xác thực, bạn có thể t́ìm thấy mật khẩu quản trị trên định dạng văn bản rõ ràng", báo cáo ban đầu về nguy hại do Search-Labs cho biết như vậy.

Bộc lộ các địa-điểm của camera IP, camera CCTV và thiết bị DVR ghi hình qua mạng hỗ trợ môi trường đám mây của AVTech. Sau khi cài đặt, phần mềm độc hại có thể thực hiện các lệnh trình báo ngoại lệ , bắt đầu các cuộc tấn công DDoS (như Mirai) và sử dụng các thiết bị Camera đã lây nhiễm để lây lan phần mềm độc hại tới hệ thiết bị an ninh an toàn và các máy khác trên mạng.

Trend Micro lưu-ý  về các địa chỉ IP, tất cả đều được đăng ký ở Hàn Quốc, từ đó có thể tải xuống ngay phần mềm độc hại, là:

Có ba địa chỉ IP nơi ELF_IMEIJ.A có thể được tải xuống và chúng được lưu trữ trên các ISP riêng biệt.

ü Xxp: //172.247.116.3: 8080 / Arm1

ü Xxp: //172.247.116.21: 85 / Arm1 

ü Xxp: //192.154.108.2: 8080  / Arm1 

Xem bài chi tiết các lỗ hổng an ninh cụ thể : Không thể ngờ rằng Avtech Taiwan lại liều bỏ các tính năng này.