Популярный производитель тепловизоров полгода игнорирует информацию о бэкдорах

Программные оболочки нескольких моделей тепловизоров компании FLIR Systems содержат неустранимые бэкдоры. Эксперт по безопасности, обнаруживший этот недочет, сообщил о нем производителю камер, однако ответа так и не последовало.

Дыры в тепловизорах

Эксперт по информационной безопасности компании Zero Science Labs Гёко Крстич (Gjoko Krstic), обнаружил, что несколько моделей камер-тепловизоров производства одного из лидеров этого рынка FLIR Systems, содержат в своей программной оболочке несколько жестко запрограммированных комбинаций логинов-паролей, которые невозможно устранить. Кроме них программные оболочки содержат целый ряд уязвимостей, в том числе, критических.

Бэкдоры присутствуют в сериях камер FC-Series S (FC-334-NTSC), FC-Series ID, FC-Series R, PT-Series (PT-334 200562), D-Series, F-Series. Протестированы были камеры с версией прошивки 8.0.0.64 и версией сопутствующего ПО 10.0.2.43.

В зависимости от модели, доступ к их внутренним настройкам позволяют получить комбинации логинов и паролей вида: root:indigo, root:video, default:video, ftp:video. С одной моделью достаточно логина «default», пароль не требуется вовсе.

В прошивке популярных тепловизоров FLIR обнаружились закодированные логины и пароли

Отметим, что тепловизоры перечисленных серий весьма активно продаются в России. По сути они представляют собой обычные IP-камеры с возможностью функционировать в режиме тепловизоров.

Бэкдором дело не ограничивается

Крстич также указывает, что прошивки камер содержит и другие «баги»: злоумышленники могут получить доступ к стриму камеры без прохождения авторизации, возможности запуска вредоносного кода с последующим получением root-привилегий, возможности инъекции команд на root-уровне со стороны пользователей, которые не обладают администраторскими привилегиями. Кроме того, злоумышленники обладают возможностью получать доступ к некоторым файлам камеры и считывать данные с других локальных ресурсов.

Виновник бездействует

Производитель камер пока выпустил исправление только для «бага», связанного с инъекцией команд. На остальные сообщения эксперта он так и не отреагировал, несмотря на то, что первое обращение было датировано еще мартом 2017 г.

Отметим, что при этом Крстич опубликовал не только информацию об уязвимостях, но и демонстрационный код для их эксплуатации.

Просто забыли

Крстич отметил, что защититься от перечисленных уязвимостей в меру просто: достаточно поместить камеру за надежный фаерволл.

«По всей видимости, разработчики прошивок для этих камер просто забыли убрать жестко запрограммированные логины и пароли, использовавшиеся ими в процессе отладки программной оболочки, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — К сожалению, это очередная демонстрация того, что производители устройств интернета вещей не уделяют должного внимания даже самым базовым вопросам безопасности своих устройств. И это притом, что сегодня защищенность IoT-устройств является одной из самых острых проблем информационной безопасности в целом».