Fel i D-Link-firmware kan möjliggöra spionering av IP-videostreaming

Om du kör en bank och använder en IP-videokamera från D-Link, kanske du vill vara uppmärksam på detta.

Ett antal IP-baserade videokameror för övervakning Core Security, ett företag med säte i Boston som specialiserar sig vid upptäckt och undersökning av sårbarhet, publiceras på måndagens detaljer om fem sårbarheter.

[Vidare läsning: De bästa överspänningsskydd för din kostsamma elektronik]

D-Link gör en mängd olika internetanslutna kameror som den säljer till företag och konsumenter. Kamerorna kan spela in bilder och video och styras via webbaserade kontrollpaneler. Live-flöden kan ses på vissa mobila enheter.

En av de sårbara modellerna DCS-5605 / DCS-5635 har en rörelsesdetekteringsfunktion, vilket D-Link föreslår i marknadsföringsmaterialet skulle vara bra för banker, sjukhus och kontor.

Core Securitys forskare fann att det var möjligt att få tillgång utan autentisering av en levande videostream via RTSP (realtidströmmarprotokoll) samt en ASCII-utmatning av en videoström i de berörda modellerna. RTSP är ett applikationsnivåprotokoll för överföring av realtidsdata, enligt Internet Engineering Task Force.

Forskarna fann också ett problem med den webbaserade kontrollpanelen som skulle tillåta en hacker att mata in godtyckliga kommandon. I ett annat fel, D-Link-hårdkodade inloggningsuppgifter i den fasta programvaran som "fungerar effektivt som en bakdörr, som tillåter fjärrattacker att få tillgång till RTSP-videoströmmen", säger Core Security i sin rådgivning.

De tekniska detaljerna beskrivs i ett inlägg i avsnittet Fullständigt upplysande av Seclists.org, tillsammans med en lista över de kända berörda produkterna, av vilka vissa har avvecklats av D-Link.

Kärnsäkerhet anmäld D-länk av problemet den 29 mars, enligt en logg om de två företags interaktion som ingår i utgåvan på Full Disclosure. Loggen, som skrivs av Core, innehåller intressanta detaljer om hur de två företagen motsvarade och uppenbarligen hade ett antal meningsskiljaktigheter. Enligt Core sa D-Link att det hade ett "opublicerat bounty-program för säkerhetsleverantörer". Många företag har buggprogram som belönar forskare med kontanter eller andra incitament för att hitta säkerhetsproblem i sina produkter och informerar dem innan de offentliggör uppgifterna.

D-Link begärde den 20 mars att Core Security skulle skriva ett "memo of understanding" som en del av programmet, vilket Core avvisade. Villkoren i notatet beskrivs inte. Core berättade för D-Link att "att ta emot pengar från leverantörer kan föranleda betänkandet."

De två företagen hade en annan mindre inlösen. D-Link berättade för Core att det skulle frigöra patchar och vägledning för att lösa problemen på D-Link Support Forum. D-Link väntar sedan en månad innan ett offentligt meddelande offentliggörs.

Core Security tyckte inte om det förslaget. I förra onsdagen frågade Core D-Link "för en förtydligande om D-Link-utgivningsdatumet och meddelar att släppa fixer till en privilegierad stängd grupp och / eller ett stängt forum eller listan är oacceptabel."

D-Links forum har ett inloggningsfält, men det verkar som om någon kan se många av inläggen utan att registrera sig. D-Link kom tillbaka en dag senare och sa att patchar är redo och skulle läggas ut på sin webbplats "under de närmaste dagarna", skrev Core.

D-Link svarade inte omedelbart på begäran om kommentar. Det var oklart från företagets supportforum om firmwareuppdateringarna hade publicerats ännu.

Core Security krediterade sina forskare Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria och Fernando Miranda för att hitta problemen. >