Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Milioni di dispositivi di videosorveglianza Xiongmai attaccabili dal Cloud

cloud  IoT  Xiongmai   venerdì, 12 ottobre 2018

La società cinese Hangzhou Xiongmai Technology Co., Ltd. (in breve, Xiongmai) è uno dei maggiori produttori mondiali di componentistica per sistemi di videosorveglianza, che comprendono telecamere IP, videoregistratori digitali (DVR) e videoregistratori di rete (NVR).

Tutti i dispositivi Xiongmai sono dotati di una funzionalità chiamata “XMEye P2P Cloud”, abilitata per impostazione predefinita, che consente agli utenti di accedere alle loro telecamere IP o NVR/DVR via Internet mediante un protocollo proprietario. Gli utenti possono connettersi ai propri dispositivi utilizzando un’app chiamata “XMeye” (disponibile per Android e iOS), un’applicazione desktop chiamata “VMS” o un SDK per gli sviluppatori di app. Tutte le connessioni vengono gestite tramite un’infrastruttura di server Cloud fornita da Xiongmai.

I ricercatori di sicurezza del SEC Consult Vulnerability Lab hanno analizzato questa infrastruttura ed evidenziato numerose criticità, con un forte impatto sulla sicurezza e la confidenzialità dei dati:

  • Il fornitore dei server Cloud ha accesso a tutti i dati (ad es., le riprese video). Sorgono le seguenti domande:
    • Chi gestisce questi server?
    • Chi controlla questi server? Dove si trovano fisicamente?
    • Sono conformi alla legislazione vigente sulla conservazione e protezione dei dati?
    • Sono conformi al Regolamento Europeo GDPR?
  • Nel caso in cui le comunicazioni non siano opportunamente protette mediante cifratura (e stando a quanto riportato non lo sono), un attaccante in grado di intercettare il traffico di rete può esaminare tutti i dati in transito.
  • La funzionalità P2P Cloud aggira i firewall consentendo di fatto connessioni da remoto all’interno di reti private.

Nello specifico, sono state individuate le seguenti vulnerabilità nell’infrastruttura Cloud di Xiongmai:

  • [Moderato] Un attaccante potrebbe utilizzare gli indirizzi MAC per enumerare potenziali Cloud ID mediante i quali individuare dispositivi potenzialmente vulnerabili e connettersi ad essi attraverso una delle app disponibili (CVE-2018-17917)
  • [Moderato] Un attaccante potrebbe sfruttare l’account d’utente predefinito “default”, con password predefinita, per effettuare il login con XMeye ed accedere alle registrazioni video (CVE-2018-17919)
  • [Importante] Non tutte le comunicazioni con i dispositivi sono cifrate, incluse quelle di XMeye e per l’aggiornamento del firmware. Un attaccante potrebbe osservare le riprese video in diretta, catturare le credenziali di autenticazione di XMeye o impersonare il server degli aggiornamenti per scaricare malware sui dispositivi connessi (CVE-2018-17915 )

Risultano affetti da queste vulnerabilità tutti i prodotti Xiongmai. Xiongmai agisce principalmente come OEM (Original Equipment Manufacturer) fornendo componenti hardware e firmware a numerosi produttori di terze parti che rivendono sotto il proprio marchio dispositivi contenenti tecnologie Xiongmai. Anche tutti questi prodotti risultano affetti dalle vulnerabilità descritte.

Gli analisti hanno individuato più di cento produttori diversi (vedi immagine) che vendono prodotti Xiongmai rimarcati, molti dei quali disponibili anche presso i maggiori siti di e-commerce. Per un elenco non esaustivo di questi vendor si veda il post originale del SEC Consult Vulnerability Lab (link in fondo all’articolo).

Xiongmai OEM vendors

Rivenditori OEM Xiongmai (fonte: SEC Consult)

In totale, i prodotti potenzialmente affetti dalle vulnerabilità elencate ammontano a circa 9 milioni, distribuiti prevalentemente in Cina (60%), Germania (15%), USA (10%), Singapore (7%), Giappone (6%) e Turchia (2%).

È possibile utilizzare i seguenti metodi per verificare se i propri prodotti di videosorveglianza utilizzano hardware e firmware Xiongmai:

  • controllare se la documentazione o la descrizione del prodotto menziona la funzionalità “XMeye”;
  • accedere alla pagina di errore del dispositivo (http://<indirizzo IP del dispositivo>/err.htm) e controllare la presenza di riferimenti a Xiongmai o XMeye.

Il produttore non ha fornito aggiornamenti o soluzioni di mitigazione per queste vulnerabilità. Per questo motivo si raccomanda, ove possibile, di dismettere completamente l’uso di prodotti Xiongmai o, in alternativa, di adottare le seguenti misure minime necessarie per ridurre il rischio di compromissione:

  • modificare le credenziali dell’account “admin” e di quello non documentato “default”;
  • verificare la sorgente di tutti gli aggiornamenti del firmware, possibilmente scaricandoli direttamente dal sito del produttore.

Si sottolinea come le soluzioni di mitigazione sopra elencate non eliminano completamente i rischi derivanti da tutte le criticità riscontrate.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sulle soluzioni di mitigazione, è possibile consultare le fonti seguenti (in Inglese):

Notizie correlate

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto

Vulnerabilità multiple in Samsung SmartThings Hub

27 luglio 2018

I ricercatori di sicurezza di Cisco Talos hanno scoperto numerose vulnerabilità nel controller centralizzato SmartThings Hub di Samsung.Leggi tutto

Compromissione di credenziali di DVR vulnerabili

19 luglio 2018

Sono state recentemente rilevate possibili compromissioni di dispositivi DVR con firmware non aggiornato utilizzati in impianti di videosorveglianza.Leggi tutto