A GeoVision, fabricante taiwanesa de sistemas de vigilância por vídeo e câmeras IP, corrigiu recentemente três das quatro falhas críticas que afetam seus scanners de cartões e impressões digitais que poderiam permitir que invasores interceptassem o tráfego de rede e realizassem ataques man-in-the-middle.
Em um relatório compartilhado , a empresa de segurança corporativa Acronis disse que descobriu as vulnerabilidades no ano passado após uma auditoria de segurança de rotina de um grande varejista de Cingapura.
"Os invasores maliciosos podem estabelecer persistência na rede e espionar usuários internos, roubar dados - sem nunca serem detectados", Acronisdisse. "Eles podem reutilizar seus dados de impressão digital para entrar em sua casa e / ou dispositivos pessoais, e as fotos podem ser facilmente reutilizadas por atores mal-intencionados para perpetrar o roubo de identidade com base em dados biométricos".
No total, as falhas afetam pelo menos 6 famílias de dispositivos, com mais de 2.500 dispositivos vulneráveis descobertos on-line no Brasil, EUA, Alemanha, Taiwan e Japão, além de milhares de outros dispositivos que podem ser comprometidos remotamente.
O primeiro problema refere-se a uma senha root anteriormente não documentada, que permite que um invasor acesse o backdoor a um dispositivo usando simplesmente a senha padrão ("admin") e efetue login remotamente no dispositivo vulnerável (por exemplo, https: //ip.of.the. device / isshd.htm).
Uma segunda falha envolve o uso de chaves privadas criptográficas compartilhadas codificadas durante a autenticação via SSH, enquanto uma terceira vulnerabilidade torna possível acessar os logs do sistema no dispositivo (por exemplo, em https: //ip.of.the.device/messages.txt e em https: //ip.de.device/messages.old.txt) sem qualquer autenticação.
Por fim, existe uma vulnerabilidade de buffer overflow no firmware, afetando os leitores de impressão digital da GeoVision, que permite que os invasores executem códigos não autorizados nos dispositivos. Não requer autenticação prévia. Ainda mais preocupante, ele tem uma classificação CVSS de 10, tornando-o uma falha crítica.
A Acronis disse que inicialmente abordou a GeoVision em agosto passado, posteriormente duas vezes em setembro e dezembro, além de entrar em contato com a SingCERT com suas descobertas. Mas foi apenas no início deste mês que a GeoVision emitiu correções para três das falhas (versão 1.22), deixando a vulnerabilidade de estouro de buffer sem patch.
As falhas também foram reconhecidas pela equipe de resposta a emergências de computadores de Taiwan (TWCERT), que publicou avisos para os três erros - CVE-2020-3928 ,CVE-2020-3929 e CVE-2020-3930 - confirmando as correções do firmware e a disponibilidade da nova versão.
Além disso, sem divulgar informações técnicas sobre a quarta falha crítica na execução remota de código que a empresa deixou sem patch, podemos mencionar que ela poderia permitir que os invasores utilizassem um parâmetro vulnerável para substituir as estruturas de memória responsáveis pelo gerenciamento de memória.
A falha substitui os ponteiros em estruturas específicas, permitindo que os atacantes redirecionem o fluxo de execução do programa para seu próprio código malicioso e executem comandos diferentes.
Entramos em contato com a GeoVision para solicitar seu comentário sobre as divulgações, mas não recebemos uma resposta antes da publicação deste artigo.
"Quando o invasor obtém controle total sobre o dispositivo, ele é livre para instalar seu próprio firmware malicioso - após o qual será quase impossível expulsá-lo da rede", disse o Acronis CISO CISO Kevin Reed e o pesquisador de segurança Alex Koshelev.
"É bastante surreal ver alguns fornecedores não se apressarem em corrigir vulnerabilidades críticas - além da baixa qualidade do código-fonte inicial, a presença de portas traseiras é preocupante. Isso mostra que a segurança da IoT é falha e cada empresa deve entender que o uso dessa dispositivos podem deixá-los expostos a riscos prolongados e sem mitigação. "
Em um relatório compartilhado , a empresa de segurança corporativa Acronis disse que descobriu as vulnerabilidades no ano passado após uma auditoria de segurança de rotina de um grande varejista de Cingapura.
"Os invasores maliciosos podem estabelecer persistência na rede e espionar usuários internos, roubar dados - sem nunca serem detectados", Acronisdisse. "Eles podem reutilizar seus dados de impressão digital para entrar em sua casa e / ou dispositivos pessoais, e as fotos podem ser facilmente reutilizadas por atores mal-intencionados para perpetrar o roubo de identidade com base em dados biométricos".
No total, as falhas afetam pelo menos 6 famílias de dispositivos, com mais de 2.500 dispositivos vulneráveis descobertos on-line no Brasil, EUA, Alemanha, Taiwan e Japão, além de milhares de outros dispositivos que podem ser comprometidos remotamente.
O primeiro problema refere-se a uma senha root anteriormente não documentada, que permite que um invasor acesse o backdoor a um dispositivo usando simplesmente a senha padrão ("admin") e efetue login remotamente no dispositivo vulnerável (por exemplo, https: //ip.of.the. device / isshd.htm).
Uma segunda falha envolve o uso de chaves privadas criptográficas compartilhadas codificadas durante a autenticação via SSH, enquanto uma terceira vulnerabilidade torna possível acessar os logs do sistema no dispositivo (por exemplo, em https: //ip.of.the.device/messages.txt e em https: //ip.de.device/messages.old.txt) sem qualquer autenticação.
Por fim, existe uma vulnerabilidade de buffer overflow no firmware, afetando os leitores de impressão digital da GeoVision, que permite que os invasores executem códigos não autorizados nos dispositivos. Não requer autenticação prévia. Ainda mais preocupante, ele tem uma classificação CVSS de 10, tornando-o uma falha crítica.
A Acronis disse que inicialmente abordou a GeoVision em agosto passado, posteriormente duas vezes em setembro e dezembro, além de entrar em contato com a SingCERT com suas descobertas. Mas foi apenas no início deste mês que a GeoVision emitiu correções para três das falhas (versão 1.22), deixando a vulnerabilidade de estouro de buffer sem patch.
As falhas também foram reconhecidas pela equipe de resposta a emergências de computadores de Taiwan (TWCERT), que publicou avisos para os três erros - CVE-2020-3928 ,CVE-2020-3929 e CVE-2020-3930 - confirmando as correções do firmware e a disponibilidade da nova versão.
Além disso, sem divulgar informações técnicas sobre a quarta falha crítica na execução remota de código que a empresa deixou sem patch, podemos mencionar que ela poderia permitir que os invasores utilizassem um parâmetro vulnerável para substituir as estruturas de memória responsáveis pelo gerenciamento de memória.
A falha substitui os ponteiros em estruturas específicas, permitindo que os atacantes redirecionem o fluxo de execução do programa para seu próprio código malicioso e executem comandos diferentes.
Entramos em contato com a GeoVision para solicitar seu comentário sobre as divulgações, mas não recebemos uma resposta antes da publicação deste artigo.
"Quando o invasor obtém controle total sobre o dispositivo, ele é livre para instalar seu próprio firmware malicioso - após o qual será quase impossível expulsá-lo da rede", disse o Acronis CISO CISO Kevin Reed e o pesquisador de segurança Alex Koshelev.
"É bastante surreal ver alguns fornecedores não se apressarem em corrigir vulnerabilidades críticas - além da baixa qualidade do código-fonte inicial, a presença de portas traseiras é preocupante. Isso mostra que a segurança da IoT é falha e cada empresa deve entender que o uso dessa dispositivos podem deixá-los expostos a riscos prolongados e sem mitigação. "
