9 triệu thiết bị Xiongmai sản xuất có lỗi mật khẩu webcam mặc định
Sản phẩm của công ty TNHH Hangzhou Xiongmai Technology vừa bị phát hiện có một lỗ hổng mới – lỗi mật khẩu webcam mặc định. Sau khi vụ việc Mirai IoT botnet tấn công sản phẩm webcam để xâm nhập số lượng lớn thiết bị xảy ra hai năm trước, cuối cùng công ty Xiongmai cũng đã vá được lỗ hổng ...
Sản phẩm của công ty TNHH Hangzhou Xiongmai Technology vừa bị phát hiện có một lỗ hổng mới – lỗi mật khẩu webcam mặc định.
Sau khi vụ việc Mirai IoT botnet tấn công sản phẩm webcam để xâm nhập số lượng lớn thiết bị xảy ra hai năm trước, cuối cùng công ty Xiongmai cũng đã vá được lỗ hổng đó. Tuy nhiên, webcam do Xiongmai sản xuất vẫn chưa thực sự an toàn. Một lỗ hổng mới đã bị phát hiện- lỗ hổng do mật khẩu webcam mặc định tạo cơ hội cho những kẻ tấn công tạo ra một botnet IoT nguy hiểm.
Lỗ hổng mật khẩu webcam mặc định nằm trong tính năng XMEye P2P Cloud, một tính năng được bật tự động trên tất cả thiết bị Xiongmai. Lỗ hổng này cho phép người dùng truy cập thiết bị từ xa sử dụng Internet để kiểm tra camera IP hoặc cài đặt chế độ thu âm trên DVR của họ.
Sử dụng một số ứng dụng, người dùng có thể đăng nhập thiết bị thông qua cơ sở hạ tầng đám mây của Xiongmai. Điều này có nghĩa là người dùng không cần cài đặt chuyển tiếp cổng tường lửa hoặc cài đặt UPnP trên bộ định tuyến, tuy nhiên lại tạo ra lỗ hổng trong mạng lưới của người dùng.
Tài liệu tư vấn từ SEC Consult, một công ty tư vấn an ninh mạng đã điều tra vụ việc này công bố nhiều vấn đề an ninh khác.
Đầu tiên, Xiongmai sử dụng ID riêng cho từng thiết bị dựa trên địa chỉ MAC. Đây là một định dạng tiêu chuẩn và không ngẫu nhiên. Vì địa chỉ MAC tăng dần cho nên việc lập một chương trình kiểm tra địa chỉ và xác định xem địa chỉ nào đang trực tuyến là việc khá dễ dàng. SEC Consult đã thực hiện điều đó và phát hiện 9 triệu địa chỉ như vậy trên toàn thế giới.
Thứ 2, Xiongmai còn sử dụng mật khẩu webcam mặc định và không yêu cầu người dùng thay đổi mật khẩu trong quá trình cài đặt. Kể cả khi người dùng đổi mật khẩu, tin tặc vẫn có thể đăng nhập thiết bị thông qua tài khoản người dùng phụ.
Một khi đã truy cập, tin tặc có thể xem video stream, bắt thiết bị cập nhật phần mềm hệ thống và nhập phiên bản độc hại vào bởi vì thiết bị không yêu cầu phần mềm hệ thống có khóa điện tử. Hậu quả lớn nhất là tin tặc có thể chiếm thiết bị vĩnh viễn. Người dùng không thể bật tắt thiết bị được nữa.
SEC Consult cho rằng sự việc này có thể bị lợi dụng để tạo ra một botnet nguy hiểm hơn cả botnet Mirai. Lỗ hổng mật khẩu webcam mặc định còn có thể bị lợi dụng để theo dõi camera vô thời hạn và xâm nhập nhiều thiết bị khác trong một tổ chức.
Nếu muốn biết thiết bị của bạn bị ảnh hưởng hay không, đừng tìm nhãn hiệu Xiongmai trên thiết bị vì Xiongmai chỉ là nhà sản xuất phụ tùng gốc cho những nhà cung cấp khác.
SEC Consult cho biết tổ chức này đã cố gắng liên lạc với Xiongmai nhiều lần kể từ tháng ba năm 2018, nhưng nhận được phản hồi không đạt yêu cầu.
“Mặc dù Xiongmai đã được thông báo trước bảy tháng, họ đã không sửa bất kỳ lỗi nào.”
SEC Consult bổ sung rằng bảo mật “không phải là một ưu tiên cho họ”, mọi người nên ngừng sử dụng các thiết bị từ Xiongmai và các nhà cung cấp sử dụng linh kiện của Xiongmai. Tổ chức này cũng đề xuất chính phủ Hoa Kỳ nên ban lệnh cấm mua sắm cấp liên bang đối với các sản phẩm của Xiongmai.
Nếu điều đó xảy ra, việc bán sản phẩm Xiongmai ở California sẽ gặp vấn đề lớn vì tại bang này đã thông qua luật cấm sử dụng mật khẩu mặc định.
Nakedsecurity
> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <