Уязвимости в компонентах P2P подвергают риску миллионы IoT-устройств

Уязвимости в компонентах P2P подвергают риску миллионы IoT-устройств

В зоне риска находятся миллионы устройств, включая IP-камеры, радионяни, «умные» дверные звонки, видеорегистраторы и пр.

В P2P-компоненте iLnkP2P производства китайской компании Shenzhen Yunni Technology Company, Inc. обнаружены уязвимости, позволяющие удаленно скомпрометировать устройства из сферы «Интернета вещей». В зоне риска находятся миллионы устройств, включая IP-камеры, радионяни, «умные» дверные звонки, видеорегистраторы и многие другие гаджеты, производимые и продаваемые несколькими поставщиками под сотнями брендов, такими как HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight и HVCAM и прочими.

iLnkP2P предоставляет пользователям возможность удаленно подключиться к IoT-устройствам с помощью мобильного телефона или компьютера.

Уязвимости были обнаружены независимым экспертом в области безопасности Полом Маррапизом (Paul Marrapese). По его данным, в настоящее время в Сети доступны более двух миллионов устройств, из них 39% расположены в Китае, 19% - в Европе, 7% - в США. Примерно 50% уязвимых гаджетов произведены китайской компанией Hichip.

Первая проблема (CVE-2019-11219) позволяет злоумышленнику идентифицировать уязвимое устройство, а вторая уязвимость (CVE-2019-11220) - перехватить соединение с гаджетом и осуществить атаку «человек посередине». С помощью совместной эксплуатации багов атакующий сможет похитить пароли и удаленно скомпрометировать устройства. Для этого ему потребуется всего лишь знать IP-адрес используемого устройством P2P-сервера.

Маррапиз разработал PoC-код, позволяющий заполучить пароль, эксплуатируя встроенную «heartbeat» функцию, однако решил не публиковать его из соображений безопасности.

«При подключении к сети устройства с iLnkP2P регулярно отправляют heartbeat-сообщения P2P-серверу и ожидают дальнейшие инструкции. Сервер перенаправит запрос о подключении источнику наиболее недавнего heartbeat-сообщения. Зная действительный UID устройства, атакующий может отправить фальшивые heartbeat-сообщения, которые заменят оригинальные сообщения, отправленные устройством. При подключении большинство клиентов авторизуются как администратор, что позволит атакующему получить учетные данные гаджета», - пояснил эксперт.

Маррапиз попытался связаться с производителями уязвимых устройств еще в январе нынешнего года, однако ни один вендор так и не отреагировал на его сообщения. Судя по всему, надеяться на скорый выход патчей не приходится, и в этой связи исследователь рекомендует прекратить использование уязвимых продуктов или ограничить доступ к порту UDP 32100 для предотвращения внешних подключений по P2P. Перечень уязвимых устройств доступен здесь .

Heartbeat («сердцебиение») - периодический сигнал, генерируемый аппаратным или программным обеспечением для индикации нормальной работы или для синхронизации других частей компьютерной системы.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!