Lỗi phần mềm D-Link có thể cho phép luồng video IP gián điệp

Nếu bạn điều hành một ngân hàng và sử dụng camera video IP từ D-Link, bạn có thể muốn chú ý đến điều này.

Một số camera giám sát dựa trên IP

Core Security, một công ty có trụ sở tại Boston chuyên về phát hiện và nghiên cứu dễ bị tổn thương, đã công bố chi tiết thứ hai về năm lỗ hổng bảo mật. trong phần mềm của D-Link, được bọc trong ít nhất 14 sản phẩm của nó.

[Đọc thêm: Các thiết bị bảo vệ tăng tốt nhất cho thiết bị điện tử đắt tiền của bạn]

D-Link tạo ra nhiều loại máy ảnh kết nối Internet mà nó bán cho các doanh nghiệp và người tiêu dùng. Máy ảnh có thể ghi lại hình ảnh và video và được điều khiển thông qua các bảng điều khiển dựa trên web. Nguồn cấp dữ liệu trực tiếp có thể được xem trên một số thiết bị di động.

Một trong những mô hình dễ bị tổn thương, DCS-5605 / DCS-5635, có tính năng phát hiện chuyển động, mà D-Link đề xuất trong tài liệu tiếp thị của nó sẽ tốt cho các ngân hàng,

Các nhà nghiên cứu của Security Security thấy rằng có thể truy cập mà không cần xác thực luồng video trực tiếp qua RTSP (giao thức truyền trực tuyến thời gian thực) cũng như đầu ra ASCII của luồng video trong các mô hình bị ảnh hưởng. RTSP là một giao thức cấp ứng dụng để truyền dữ liệu thời gian thực, theo Tổ công tác kỹ thuật Internet.

Các nhà nghiên cứu cũng phát hiện ra vấn đề với bảng điều khiển dựa trên web cho phép hacker nhập các lệnh tùy ý. Trong một lỗi khác, các thông tin đăng nhập được mã hóa bằng D-Link vào phần mềm "có hiệu quả như một cửa sau, cho phép kẻ tấn công từ xa truy cập luồng video RTSP", Core Security cho biết. trong một bài đăng trong phần Tiết lộ đầy đủ của Seclists.org, cùng với danh sách các sản phẩm bị ảnh hưởng đã biết, một số trong đó đã bị D-Link loại bỏ.

Core Security đã thông báo cho D-Link về vấn đề này vào ngày 29 tháng 3, theo một bản ghi về sự tương tác của hai công ty được đưa vào trong bài đăng trên toàn tiết lộ. Nhật ký, được viết bởi Core, chứa đựng những chi tiết thú vị về cách hai công ty trao đổi và dường như có một vài bất đồng.

Theo Core, D-Link cho biết họ có một "chương trình tiền thưởng chưa được công bố cho các nhà cung cấp bảo mật". Nhiều công ty có chương trình lỗi thưởng cho các nhà nghiên cứu bằng tiền mặt hoặc các ưu đãi khác để tìm kiếm các vấn đề bảo mật trong sản phẩm của họ và thông báo cho họ trước khi công bố thông tin chi tiết.

Khoảng ngày 20 tháng 3, D-Link yêu cầu Core Security ký một "bản ghi nhớ" như một phần của chương trình mà Core đã từ chối. Các điều khoản của bản ghi nhớ không được mô tả. Core nói với D-Link "rằng việc nhận tiền từ các nhà cung cấp có thể thiên vị quan điểm của báo cáo."

Hai công ty này có thêm một phần nhỏ nữa. D-Link nói với Core rằng nó sẽ phát hành các bản vá và hướng dẫn để khắc phục các vấn đề trên Diễn đàn Hỗ trợ D-Link. D-Link sau đó sẽ đợi một tháng trước khi đưa ra một thông báo công khai.

Core Security không thích gợi ý đó. Thứ tư tuần trước, Core đã hỏi D-Link "để làm rõ về ngày phát hành D-Link và thông báo rằng việc phát hành bản sửa lỗi cho một nhóm đóng đặc quyền và / hoặc một diễn đàn hoặc danh sách kín là không thể chấp nhận được."

một trường đăng nhập, nhưng có vẻ như bất kỳ ai cũng có thể xem nhiều bài đăng mà không cần đăng ký. D-Link đã trở lại một ngày sau đó và nói rằng các bản vá đã sẵn sàng và sẽ được đăng lên trang web của mình "trong vài ngày tới", Core viết.

D-Link đã không trả lời ngay lập tức các yêu cầu bình luận. Chưa có thông tin gì từ diễn đàn hỗ trợ của công ty nếu các bản cập nhật firmware đã được đăng tải công khai.

Core Security ghi nhận các nhà nghiên cứu Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria và Fernando Miranda. >