failles caméras foscam et clones

[biboun 50]

SI je suis hors sujet, merci de déplacer le post.

 

Je voulais juste partager mon experience, possesseur de caméras ip Heden, clones de foscam, au sujet de la sécurité.

En 2013, on a  vu apparaitre sur le net pas mal d'articles alertant sur la possibilité de visionner des cameras sans authentification, à  cause de failles dans les os utilisés par les integrateurs de caméra.

 

J'ai pu constater une faille assez effarante sur les heden (sauf récentes) , qui a priori existe sur une quantité incroyable de caméras exploitant la même plateforme ( et elles sont légion)

 

Voici la description de la faille:

le chemin http://ip//proc/kcore   ( notez bien le double // avant proc)   est accessible sans authentification, le problème est que ce fichier kcore est une image instantanée, et en clair de la mémoire de la caméra.

 

Il suffit de télecharger une partie de ce fichier ( les 4 à  5 premiers Mo) et de l'analyser avec la commande linux "strings".

avec un peu de recherche, que je ne détaillerai pas ici, on voit apparaitre en clair, non seulement les login/mdp de la cam, mais aussi les configurations d'emails ( serveur login mdp) et d'envoi ftp ( serveur login/mdp).

En 3 minutes, on peut donc non seulement visionner, et prendre la main complète ( ptz, IR) sur une cam, mais aussi dérober les identifiants email et ftp de la victime.

 

Certains fabricants, notamment foscam ont sorti des firmwares correctifs, pour ma part j'a contacté heden, qui m'a fourni des mises à  jour pour les cameras qui pouvaient être corrigées, les modèles trop vieux ne peuvent pas être mis à  jour, il est impératif de désactiver tout accès exterieur, ou tout au moins de ne laisser aucun email etc dans la config, de mettre un login/mdp unique et de savoir qu'il peut etre volé, et la caméra visionnée par quiconque (même le cambrioleur qui pourra verifier que vous n'êtes pas là )

 

 

SI vous voulez plus de détails sur la faille, n'hésitez pas

Sachez aussi qu'il est très facile de trouver des proies faillibles en utilisant le moteur de scan aléatoire du site shodan, donc personne n'est à  l'abris, ip fixes ou changeantes.

 

 

[i-magin 864]

Merci pour ton information

J'ai vérifié sur ma cam (clone Foscam) et pas de présence de la faille

[Moicphil 1 117]

Merci, pas très rassurant en effet ! Je ferais le test pour voir.

Par contre faut être en local ?. Donc comment font les potentiels hackers de l' extérieure ?

Sans donner la procédure bien évidemment!..

[Krikroff 1 924]

@moicphill, pas de problème si le port de ta cam est exposé sur ton IP publique, c'est comme être en local (enfin presque)

[Moicphil 1 117]

Ok

J'ai regardé sur shodan, pas de trace de mon ip...

[Krikroff 1 924]

SI vous voulez plus de détails sur la faille, n'hésitez pas

Sachez aussi qu'il est très facile de trouver des proies faillibles en utilisant le moteur de scan aléatoire du site shodan, donc personne n'est à  l'abris, ip fixes ou changeantes.

 

ça c'est certain... Tapez la marque de notre belle HC2 sur shodan, ça fait peur hein ...

[Domodial 351]

heureusement ne fonctionne pas chez moi, sur ma caméra j'ai un 404 no found
et shodan me dit : did not match any hosts
 
En tout cas c'est une belle cochonnerie ce Shodan, je n'en connaissais pas l'existence.

[Alain56 4]

Merci pour l'info, j'ai testé mes cameras pas de faille normalement...

mais bon ce shodan c'est pas terrible !

[biboun 50]

Et  oui Shodan est peut être le plus gros danger dans l'histoire, et en même temps ce genre d'agitateurs permet de faire évoluer la sécurité en géneral, ce qui va dans le bon sens.

 

Au lancement, ils ont trouvé des accès ouverts dans des centrales hydro-électriques des pays de l'est , ou des panels de monitoring de centrales...nucléaires...( default password ou backdoors constructeurs inconnus des clients, mais avec des login/mdp constants et connus publiquement)

 

Alors nous avec nos foscam, on est petits joueurs

 

Pour ceux qui testent, faites bien gaffe c 'est //proc/kcore, pas /proc/kcore.

Si vous avez un 404 c'est parfait, je crois que vous pouvez d'ailleurs accéder à  ce fichier une fois authentifié ( selon les patch ça peut varier, mais il me semble que foscam a fait du bon boulot sur ses modèles désormais).

 

Pour avoir joué un peu avec shodan, je vous assure qu'il y en a des milliers accessibles, pas glop du tout...

[Domodial 351]

J'ai tout scanné avec shodan chez moi il ne trouve rien

J'ai un doute quand meme 

[biboun 50]

Ah on peut faire scanner sa propre ip par shodan ?

 

Tu aimes t'habiller en cuir et te faire fouetter ?

[i-magin 864]

Je me faisais un peu la même réflexion.... je me demandais si en allant sur ce site, on n'allait pas gentiment "fournir notre identité IP" 

[biboun 50]

C'est une manière de s'imposer d'être bien àjour contre les failles remarques...

[clarkkent609 79]

Je me faisais un peu la même réflexion.... je me demandais si en allant sur ce site, on n'allait pas gentiment "fournir notre identité IP" 

Effectivement, je me suis fait la même réflexion. Après une brève recherche sur Google je suis tombé sur cet extrait d'interview:

Donc qu’est ce qui empêche un criminel endurci d’utiliser Shodan pour causer le chaos ?

Les gens qui savent réellement ce qu’ils font n’utiliseront pas Shodan, parce qu’ils ne souhaitent pas que leurs actions soient tracées. Shodan n’est pas un service anonyme. Si vous utilisez Shodan et que vous souhaitez plus de 50 résultats – et 50, ce n’est pas beaucoup – vous devez commencer à  me donner des informations personnelles. Si quelqu’un veut faire quelque chose de vraiment illégal, il va utiliser des botnets pour recueillir les informations à  sa place.

[biboun 50]

Oui enfin déjà  chopper les identifiants de 50 personnes, que j'aurai ciblé sur un provider et une ville, c'est pas mal illégal je trouve.

Sachant que si je cible une ville pas loin de chez moi, et que j'ai accès aux identifants gmail de la personne, je vais facilement retrouver son adresse ( adresse de  livraison d'une commande en ligne, facture dematérialisée),pourquoi pas un planning gmail, et accès à  sa caméra, je peux facilement aller chez lui ( pour peu qu'il ait filé ses codes digicode par mail à  un ami, bref, vous voyez le top, très grosses immiscions dans la vie privée de la victime, en quelques recherches accessibles à  n'importe qui...

[Domotique-Home 38]

Bonjour,

Chez un client par sécurité j’ai essayer de configurer la Foscam sur IP interne 192.XXX.XXX.XXX et désactiver le port d’accès externe sur le routeur.

et la surprise   la cam est non visible sur le reseau interne par contre si je saisie l'IP externe cela fonctionne correctement.

Quelqu'un a t il une explication car la je bloque.

[biboun 50]

alors il va falloir préciser un peu.

quand tu dis desactiver le port d'accès externe sur le routeur, on parle bien de port-forward ? si oui quel port était redirigé aupravant?

 

Le "routeur" est il bien en mode routeur et non bridge ? ( quel modèle est-ce ?)

 

lorsque tu as une machine sur le réseau local, donc avec une ip et un masque dans la même classe ( supposée 192.xx...) parviens tu à  faire un ping faire l'ip de la caméra, parviens tu à  faire un ping de l'adresse ip du routeur ?

 

Lorsque tu parles de saisir l'ip externe, et que celà  fonctionne, quel test fais-tu ? accès à  la page web de la cam, ping etc... le fais-tu depuis une connection exterieure différente ou depuis l'interieur de son réseau? ( auquel cas nombre de routeurs te forwardent comme si tu utilisaient l'ip interne du port forward demandé )

 

n'y-a t'i une adresse Ip DMZ configurée sur le routeur ?

[Domotique-Home 38]

Bonjour @biboun,

 

Alors c'est une freebox tous les port sont fermés sauf celui de la HC2 et de la camera (+redirection des deux ports vers les IP local)

sur le réseau local j'ai bien une réponse au ping de la cam et bien l'image sur la tablette et pc.

 

en renseignant l'adresse IP local (192.168.XXX.XXX) dans la config de la cam dans HC2 = pas d'image

en renseignant l'adresse IP publique (89.XXX.XXX.XXX:99) dans la config de la cam dans HC2 = c'est ok j'ai l'image

 

merci pour ton aide

[biboun 50]

Ok, c'est plus clair en fait c'est juste ds Hc2 que ça merde donc.

 

Qd tu tests le hc2, tu es dans le réseau local ou distant ?

Car hc2 ne fait en aucun cas relai des cameras, il se contente d'intégrer dans l'affichage le flux issu de la cam, si tu veux l'utiliser comme moyen de router les images des cams vers l'exterieur ça ne marchera pas.

En clair si tu tests depuis l'exterieur, et que dans la config Hc2 la cam est déclarée en ip locale, ton browser à  l'exteieur tentera de résoudre l'ip lan 192.168 et échouera.

[Domodial 351]

Dans ce cas il faut appeler un nom de domaine ou dyndns pour faire la translation.

[biboun 50]

Sur freebox c est de l ip fixe en meme temps, mais si je comprend bien l objectif aurait ete de ne plus exposer la cam en direct sur le web et d utiliser le hc2 comme relai, ce qui est impossible auujourdhui

[Domotique-Home 38]

Merci @biboun je comprend mieux, je n'ai pas pensé que HC2 ne fait pas le relais. Mais ça coulé de source.

@Domodial le but est de empêché l’accès directement de l’extérieur, dyndns ou nom de domaine ne résoudrons pas le problème.

 

En fin la camera est installé et configuré en scène LUA pour la prise de photo en cas d'intrusion.

Elle n'est pas vulnérable a la faille cité par @biboun mais je voulais juste une sécurité de plus en cas ou

 

Merci encore a vous deux

[Domotique-Home 38]

Je viens de remarquer que si on exécuter la commande cité par @biboun et une fois la commande arrêté (la fenêtre de l'explorateur fermée ou clic sur X pour arrêter l’exécution de URL)

la cam se réinitialise dans sa position initial et envoi un mail de forme

 

adresse_MAC_de_la_cam(Nom_de_la_cam)'s url is http://XX.XX.XX.XX

 

Bien-sur pour ça il faut cocher dans le Réglage Mail -> Report adresse IP par mail

 

Pour exploiter, je vais écrie une script Google pour envoyer un SMS dans la foulé

[Krikroff 1 924]

J'ai réglé le problème définitivement en mettant en place un proxy réalisé en C# qui tourne sur un serveur perso, mes caméras ne sont pas exposées, juste mon proxy

[biboun 50]

@Domotique-Home , n'est-ce pas la une fonction integrée de la caméra qui vise a envoyer un email avec l'ip externe detectée lorsque la caméra (re)boot ?

Ca plus le fait qu'elle se remet en position centrale, ça me fait bien penser à  un reboot.

ça fait ça quand tu accèdes à  http://ip//proc/kcore ?  

Si tu as une faille, normalement ton navigateur va te renvoyer le contenu de la memoire dan la page web ( essentiellement du binary pas lisible), mais je n'ai jamsie vu mes cams planter sur cette requête..

 

@Krikroff du coup il fait quoi le proxy ? il filtre les urls autorisées en accès ?