GeoVision, một nhà sản xuất hệ thống giám sát video và camera IP của Đài Loan, gần đây đã vá ba trong số bốn lỗ hổng nghiêm trọng ảnh hưởng đến máy quét thẻ và dấu vân tay của họ có khả năng cho phép kẻ tấn công chặn giao thông mạng và tấn công trung gian.
Trong một báo cáo được chia sẻ riêng với The Hacker News, công ty bảo mật doanh nghiệp Acronis cho biết họ đã phát hiện ra các lỗ hổng vào năm ngoái sau cuộc kiểm toán bảo mật thông thường của một nhà bán lẻ lớn có trụ sở tại Singapore.
“Những kẻ tấn công độc hại có thể thiết lập sự kiên trì trên mạng và theo dõi người dùng nội bộ, đánh cắp dữ liệu – mà không bao giờ bị phát hiện”, Từ viết tắt nói. “Họ có thể sử dụng lại dữ liệu vân tay của bạn để vào nhà và / hoặc thiết bị cá nhân của bạn và ảnh có thể dễ dàng được các tác nhân độc hại sử dụng lại để thực hiện hành vi trộm cắp danh tính dựa trên dữ liệu sinh trắc học.”
Nói chung, lỗ hổng ảnh hưởng đến ít nhất 6 họ thiết bị, với hơn 2.500 thiết bị dễ bị phát hiện trực tuyến trên khắp Brazil, Mỹ, Đức, Đài Loan và Nhật Bản, ngoài hàng ngàn thiết bị khác có khả năng bị xâm nhập từ xa.
Vấn đề đầu tiên liên quan đến mật khẩu gốc không có giấy tờ trước đây cho phép kẻ tấn công truy cập vào cửa sau vào thiết bị chỉ bằng cách sử dụng mật khẩu mặc định (“admin”) và đăng nhập từ xa vào thiết bị dễ bị tấn công (ví dụ: https: //ip.of.the. thiết bị / isshd.htm).
Lỗ hổng thứ hai liên quan đến việc sử dụng các khóa riêng được mã hóa chia sẻ mã hóa cứng khi xác thực qua SSH, trong khi lỗ hổng thứ ba cho phép truy cập nhật ký hệ thống trên thiết bị (ví dụ: tại https: //ip.of.the.device/messages.txt và tại https: //ip.of.the.device/messages.old.txt) mà không cần bất kỳ xác thực nào.
Cuối cùng, tồn tại một lỗ hổng tràn bộ đệm trong phần sụn tác động đến đầu đọc dấu vân tay của GeoVision, cho phép kẻ tấn công chạy mã trái phép trên thiết bị. Nó không yêu cầu xác thực trước. Thậm chí rắc rối hơn, nó có xếp hạng CVSS là 10, làm cho nó trở thành một lỗ hổng nghiêm trọng.
Acronis cho biết ban đầu họ đã tiếp cận GeoVision vào tháng 8 năm ngoái, sau đó hai lần vào tháng 9 và tháng 12, ngoài việc liên hệ với SingCERT với những phát hiện của họ. Nhưng phải đến đầu tháng này, GeoVision mới đưa ra các bản sửa lỗi cho ba lỗi (phiên bản 1.22) trong khi không thể khắc phục lỗ hổng tràn bộ đệm.
Các lỗ hổng cũng được Nhóm phản ứng khẩn cấp máy tính của Đài Loan (TWCERT) thừa nhận, đã công bố các lời khuyên cho ba lỗi – CVE-2020-3928, CVE-2020-3929và CVE-2020-3930 – xác nhận các bản sửa lỗi phần sụn và tính khả dụng của phiên bản mới.
Bên cạnh đó, không tiết lộ thông tin kỹ thuật về lỗ hổng thực thi mã từ xa quan trọng thứ tư mà công ty chưa để lại, chúng tôi có thể đề cập rằng nó có thể cho phép kẻ tấn công tận dụng một tham số dễ bị tổn thương để ghi đè lên các cấu trúc bộ nhớ chịu trách nhiệm quản lý bộ nhớ.
Lỗ hổng cuối cùng ghi đè lên các con trỏ trong các cấu trúc cụ thể, cho phép kẻ tấn công chuyển hướng luồng thực thi của chương trình sang mã độc của riêng chúng và thực hiện các lệnh khác nhau.
Chúng tôi đã liên hệ với GeoVision để hỏi nhận xét của họ về các tiết lộ, nhưng chúng tôi không nhận được phản hồi trước khi xuất bản bài viết này.
“Một khi kẻ tấn công có toàn quyền kiểm soát thiết bị, anh ta / cô ta có thể tự do cài đặt phần mềm độc hại của riêng mình – sau đó sẽ gần như không thể đuổi họ ra khỏi mạng”, Acronis CISO CISO và Nhà nghiên cứu bảo mật Alex Koshelev nói.
“Thật bất ngờ khi thấy một số nhà cung cấp không vội vã sửa các lỗ hổng nghiêm trọng – ngoài chất lượng thấp của mã nguồn ban đầu, sự hiện diện của các cửa sau có liên quan. Điều đó cho thấy bảo mật IoT là thiếu sót, và mỗi công ty phải hiểu rằng sử dụng như vậy các thiết bị có thể khiến chúng tiếp xúc với những rủi ro không được thừa nhận kéo dài. “
