Уязвимость в системах видеонаблюдения может помочь хакерам в атаках на PoS-терминалы

Уязвимость в системах видеонаблюдения может помочь хакерам в атаках на PoS-терминалы

Из-за проблемы в прошивке данные кредитных карт клиентов магазинов розничной торговли могли быть похищены.

ИБ-эксперт компании RSA Security Ротем Кернер (Rotem Kerner) сообщил о проблемах безопасности в прошивках камер видеонаблюдения от 70 производителей. По словам эксперта, уязвимость могла сыграть не последнюю роль в ряде утечек данных кредитных карт клиентов крупных торговых сетей.

На проведение исследования Кернера натолкнул датированный декабрем 2014 года отчет компании RSA «The Backoff POS Trojan operation». В документе описывалась нашумевшая вредоносная кампания по заражению PoS-терминалов в сетях магазинов в США (Target, Neiman Marcus, Michaels, UPS Store и др.) трояном Backoff.

Согласно отчету, преступники осваивают новые тактики атак на клиентов торговых компаний. В качестве нового вектора атак упоминались видеорегистраторы – ключевые компоненты любой системы видеонаблюдения. Взлом устройства позволял злоумышленникам убедиться, что целевой хост действительно принадлежит определенной компании, и получить доступ к локальной сети, откуда было «рукой подать» до PoS-терминалов.

Кернер всерьез заинтересовался возможностью осуществления атак на платежные терминалы путем эксплуатации уязвимостей в системах видеонаблюдения. Собрав данные с CC-серверов более сотни зараженных устройств, исследователь составил карту открытых портов. Многие из них в добавок к порту 8000 оказались запущены на открытых портах 81/82. Данные web-серверы идентифицировались как Cross Web Server. Как показала система для поиска подключенных к интернету устройств Shodan, на ПО Cross Web Server работало около 30 тыс. систем видеонаблюдения.

Следующим шагом было определение производителя систем видеонаблюдения. Судя по логотипу, поставщиком оборудования была израильская компания, однако комментарии в коде указывали на китайское происхождение ПО. Кернер нашел сайт производителя TVT и без труда загрузил оттуда обновление прошивки видеорегистраторов.

В ходе анализа кода прошивки исследователь обнаружил уязвимость, позволившую ему получить удаленный доступ к видеорегистратору через вредоносный URI. Взлом устройства предоставил доступ к локальной сети, а оттуда – к PoS-терминалам. Попытки Кернера связаться с компанией TVT оказались безуспешными.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.