Falhas de firmware da D-Link podem permitir espionagem de vídeo IP

Se você administra um banco e usa uma câmera de vídeo IP da D-Link, talvez queira prestar atenção a isso.

Várias câmeras de vídeo de vigilância baseadas em IP A D-Link tem vulnerabilidades de firmware que podem permitir que um invasor intercepte o fluxo de vídeo, de acordo com pesquisadores de segurança.

A Core Security, especializada em detecção e pesquisa de vulnerabilidades, publicou na segunda-feira detalhes de cinco vulnerabilidades no firmware da D-Link, que é envolto em pelo menos 14 dos seus produtos

[Leitura adicional: Os melhores protetores contra surtos para seus eletrônicos caros]

A D-Link fabrica uma variedade de câmeras conectadas à Internet para empresas e consumidores. As câmeras podem gravar imagens e vídeos e serem controladas através de painéis de controle baseados na Web. Os feeds ao vivo podem ser visualizados em alguns dispositivos móveis.

Um dos modelos vulneráveis, o DCS-5605 / DCS-5635, tem um recurso de detecção de movimento, que a D-Link sugere em seus materiais de marketing seria bom para os bancos, hospitais e escritórios

Os pesquisadores da Core Security descobriram que era possível acessar sem autenticação um fluxo de vídeo ao vivo via RTSP (protocolo de fluxo em tempo real), bem como uma saída ASCII de um fluxo de vídeo nos modelos afetados. O RTSP é um protocolo em nível de aplicativo para transferir dados em tempo real, de acordo com a Força-Tarefa de Engenharia da Internet. Os pesquisadores também encontraram um problema no painel de controle baseado na Web que permitiria que um hacker inserisse comandos arbitrários. Em outro erro, as credenciais de login codificadas da D-Link para o firmware que "efetivamente servem como um backdoor, que permite que atacantes remotos acessem o fluxo de vídeo RTSP", disse a Core Security em seu comunicado. em um post na seção Full Disclosure do Seclists.org, juntamente com uma lista dos produtos afetados conhecidos, alguns dos quais foram eliminados pela D-Link.

A Core Security notificou a D-Link sobre o problema em 29 de março, de acordo com um log da interação das duas empresas incluídas na postagem no Full Disclosure. O registro, escrito por Core, contém detalhes interessantes de como as duas empresas corresponderam e aparentemente tiveram alguns desentendimentos.

Segundo a Core, a D-Link disse que tinha um "programa de recompensas não publicado para fornecedores de segurança". Muitas empresas têm programas de bugs que recompensam pesquisadores com dinheiro ou outros incentivos para encontrar problemas de segurança em seus produtos e informá-los antes de divulgar publicamente os detalhes.

Por volta de 20 de março, a D-Link solicitou que a Core Security assinasse um "memorando de entendimento" como parte do programa, que Core rejeitou. Os termos do memorando não foram descritos. Core disse à D-Link "que o recebimento de dinheiro de fornecedores pode influenciar a visão do relatório".

As duas empresas tiveram outra pequena invasão. A D-Link disse ao Core que lançaria os patches e orientações para corrigir os problemas no Fórum de Suporte da D-Link. A D-Link esperaria um mês antes de fazer um anúncio público.

A Core Security não gostou dessa sugestão. Na última quarta-feira, a Core solicitou à D-Link "um esclarecimento sobre a data de lançamento da D-Link e notificou que liberar correções para um grupo fechado privilegiado e / ou um fórum ou lista fechada é inaceitável."

O fórum da D-Link tem um campo de login, mas parece que qualquer pessoa pode ver muitas das mensagens sem se registrar. A D-Link voltou um dia depois e disse que os patches estão prontos e seriam colocados em seu site "nos próximos dias", escreveu Core.

A D-Link não respondeu imediatamente aos pedidos de comentários. Não ficou claro no fórum de suporte da empresa se as atualizações de firmware haviam sido postadas publicamente ainda.

A Core Security creditou seus pesquisadores Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria e Fernando Miranda com a descoberta dos problemas. >