Résoudre Tous Les Problèmes De Windows Et Autres Programmes

Un bogue de contournement d'authentification expose les webcams Foscam à un accès non autorisé

Le logiciel utilisé par de nombreuses caméras IP sans fil fabriquées par Foscam Digital Technologies présente une vulnérabilité qui permet aux utilisateurs distants d'accéder à leurs flux vidéo et de prendre des instantanés sans authentification appropriée.

Le problème a été signalé sur le forum de support technique Foscam cette semaine par le propriétaire d'une caméra IP sans fil Foscam FI8905W conçue pour les environnements extérieurs.



'J'ai découvert assez tôt dans mes tests que l'utilisateur pouvait simplement appuyer sur OK dans la fenêtre de dialogue sans saisir d'utilisateur ou de mot de passe et qu'il serait redirigé vers l'image', a déclaré lundi un utilisateur portant le surnom de SENWiEco. La caméra utilisait la dernière version du firmware à l'époque - 11.35.2.54, a-t-il déclaré.



Un utilisateur régulier du forum et développeur de logiciels nommé Don Kennedy qui utilise le surnom TheUberOverLord a par la suite enquêté sur le problème et a conclu que d'autres modèles de caméras intérieures et extérieures de la série MJPEG de Foscam avaient le même problème. Kennedy a localisé le problème dans le système de gestion des utilisateurs du logiciel.

Les caméras Foscam MJPEG prennent en charge jusqu'à huit comptes d'utilisateurs distincts avec des privilèges différents : Administrateur, Opérateur et Visiteur. L'interface d'administration des utilisateurs comporte huit champs d'ID utilisateur, mais un seul d'entre eux est configuré par défaut avec le nom d'utilisateur « admin » et le privilège Administrateur. Les autres sont masqués et le privilège Visiteur est attribué par défaut.



Selon Kennedy, si l'un des huit emplacements utilisateur est laissé vide - sans nom d'utilisateur et mot de passe configurés - il est possible d'accéder à la caméra en appuyant simplement sur OK sur l'invite d'authentification. Cela donnera à l'utilisateur distant des privilèges de visiteur et lui permettra d'accéder à des flux vidéo avec ou sans audio, de prendre des instantanés et d'exécuter toutes les commandes CGI disponibles au niveau d'accès de visiteur.

Une solution de contournement consiste à configurer manuellement les noms d'utilisateur et les mots de passe pour les huit champs d'ID utilisateur, a déclaré Kennedy. Cependant, cela a l'inconvénient d'exposer la caméra à des attaques par déni de service.

Selon Kennedy, il existe un deuxième bogue qui provoque le blocage de la caméra après un certain nombre de tentatives infructueuses d'accès à la caméra sans nom d'utilisateur et mot de passe. Dans ce cas, le propriétaire de la caméra devra peut-être redémarrer la caméra en l'éteignant puis en la sauvegardant, a-t-il déclaré.



Cela pourrait être gênant, d'autant plus que bon nombre de ces caméras sont configurées de manière à pouvoir être surveillées à distance, de sorte que leurs propriétaires pourraient ne pas y avoir immédiatement accès physiquement.

Le problème semble être limité à la version .54 du micrologiciel du système pour les modèles de caméras intérieures et extérieures MJPEG, a déclaré Kennedy lundi sur le forum. 'Les modèles de caméras basés sur MJPEG suivants ont une version de firmware système de .54 actuellement publiée : FI8904W, FI8905E, FI8905W, FI8906W, FI8907W, FI8909W, FI8910E, FI8910W, FI8916W, FI8918W et FI8919W', avait-il déclaré à l'époque.

Foscam a publié jeudi la version .55 du micrologiciel pour certains de ces modèles d'appareils photo. La mise à jour du firmware est disponible en téléchargement sur le site Web de l'entreprise et son fichier changelog précise qu'il corrige un bogue permettant l'exécution de commandes CGI sans authentification. La mise à jour empêche également l'utilisation d'espaces vides dans le champ du nom d'utilisateur et ajoute la prise en charge des caractères spéciaux dans les mots de passe.

Dans une mise à jour sur le forum Foscam, Kennedy a confirmé que la version .55 du firmware corrige la vulnérabilité d'accès non autorisé. Cependant, cela ne résout pas le problème du gel de la caméra, a-t-il déclaré.

Cela signifie qu'un attaquant qui essaie à plusieurs reprises d'accéder à des caméras Internet exécutant la nouvelle version du micrologiciel .55 avec un nom d'utilisateur et un mot de passe vides peut finir par désactiver temporairement ces caméras.

Foscam n'a pas immédiatement répondu à une demande d'éclaircissements sur les modèles concernés qui n'ont pas reçu la mise à jour du micrologiciel .55 et le problème de déni de service.

Un avis de sécurité sur le site Web américain de la société, qui semble être mis à jour périodiquement, se lit actuellement : « Foscam s'engage pleinement à maintenir la sécurité et l'intégrité de notre expérience utilisateur et prendra toutes les mesures raisonnablement nécessaires pour garantir la confidentialité et la sécurité de nos caméras. Dès qu'une vulnérabilité de sécurité est révélée, Foscam s'efforce de publier immédiatement une mise à jour du micrologiciel pour résoudre le problème. En date du 19 janvier 2014, il n'y a aucune vulnérabilité connue avec aucune de nos caméras une fois mise à jour avec le dernier micrologiciel, comme indiqué ci-dessous. Toutes les caméras actuellement vendues par Foscam.us sont mises à niveau avec le dernier firmware.'

Dans le même message, la société recommande de modifier le nom d'utilisateur et le mot de passe par défaut de la caméra, de modifier le port par défaut pour l'accès à distance et de vérifier régulièrement les journaux de la caméra, qui peuvent révéler des tentatives d'accès non autorisées.

En avril, les chercheurs en sécurité de Qualys signalé plusieurs failles de sécurité dans les caméras Foscam et a déclaré qu'en utilisant le moteur de recherche Shodan, ils ont pu trouver plus de 100 000 caméras connectées à Internet. Ils ont estimé à l'époque que deux de ces caméras sur 10 permettent aux utilisateurs de se connecter avec l'utilisateur « admin » par défaut et sans mot de passe.