Des backdoors dans des caméras IP de Sony

Le par  |  2 commentaire(s)
Sony-camera-IP

Plus de 80 modèles différents de caméras IP et de sécurité de Sony disposaient de comptes backdoor qui pouvaient gratifier des attaquants d'un accès complet.

S'appuyant sur la plate-forme de traitement de vidéosurveillance IPELA Engine Pro de Sony (Sony Professional Solutions), des caméras IP contenaient plusieurs backdoors. Dans une divulgation publique, des chercheurs en sécurité de SEC Consult évoquent des vulnérabilités pour plus de 80 modèles différents.

Sony-Ipela-cameraDécouvertes début octobre, elles ont été corrigées dans des mises à jour firmware publiées fin novembre par Sony. Ces vulnérabilités étaient exploitables à travers un réseau local pour des appareils dans leur configuration par défaut. Une exploitation via Internet était possible si l'interface Web de la caméra était exposée.

SEC Consult détaille des backdoors permettant à un attaquant d'activer le service Telnet ou SSH pour une administration à distance, obtenir un accès à un shell Linux avec des privilèges root. Sans compter des effets secondaires comme au niveau de la qualité de l'image ou d'autres fonctionnalités de la caméra.

Sont en cause des identifiants codés en dur dans l'interface Web qui ont pu être cassés facilement, et un mot de passe codé en dur pour le compte root qui pourrait être cassé. Les comptes sont notamment autorisés à accéder à une fonctionnalité CGI spécifique et non documentée, d'où l'allusion à des comptes backdoor.

" Nous pensons que la porte dérobée a été introduite par les développeurs de Sony à dessein, peut-être comme un moyen de déboguer l'appareil pendant le développement ou pour des tests d'usine, et pas par un tiers non autorisé ", écrit SEC Consult.

Les chercheurs ajoutent qu'il est essentiel pour les entreprises de restreindre l'accès aux caméras IP en utilisant un réseau local virtuel (VLAN), un pare-feu et autres. Sans quoi, le risque d'un botnet à la Mirai est élevé.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1937423
Très sympa de la part de Sony
Le #1937499
Le coup du débug machine, j'y crois moyen quand même...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]