Dozijn kwetsbaarheden in populaire Foscam C1-camera ontdekt
Onderzoekers van Cisco hebben opnieuw allerlei kwetsbaarheden in de populaire Foscam C1-camera ontdekt. Via de beveiligingslekken kan een aanvaller op afstand het toestel overnemen. In juni van dit jaar rapporteerde Cisco ook al over de camera. Toen hadden onderzoekers 20 kwetsbaarheden gevonden.
De nu ontdekte beveiligingslekken bevinden zich onder andere in de DDNS-server. Bij het opstarten van het apparaat wordt de ingestelde DDNS-server gecontroleerd. Er was echter geen limiet voor het antwoord van de server ingesteld, waardoor er verschillende buffer overflows konden worden veroorzaakt. Via de buffer overflows had een aanvaller vervolgens willekeurige code op de camera kunnen uitvoeren en het apparaat zo kunnen overnemen.
Een soortgelijke kwetsbaarheid bevond zich in de UPnP-implementatie van de Foscam-camera. Via UPnP kan de camera met de netwerk-gateway communiceren om de webmanagement-interface op afstand toegankelijk te maken. Een aanvaller die een speciaal UPnP-antwoord naar kwetsbare apparaten stuurde kon echter een buffer overflow veroorzaken en zo willekeurige code uitvoeren. Verder bleek de camera aangeboden firmware-updates niet goed te controleren. Een aanvaller had zo zijn eigen firmware kunnen installeren.
Foscam C1-camera's met firmwareversie 1.9.3.18, applicatie-firmwareversie 2.52.2.43 en plug-inversie 3.3.0.26 zijn kwetsbaar. Mogelijk spelen de problemen ook bij oudere firmwareversies, maar Cisco heeft de beveiligingslekken bij de genoemde configuratie getest. Na te zijn ingelicht heeft Foscam een firmware-update uitgebracht.
TheYOSH
TheYOSH
Ze zijn slim, ze laten anderen de fouten eruit halen. Scheelt heel wat onderzoekskosten.
Pff.. toe maar.. Wel eens van responsible disclosure gehoord?
Vertel, wat heb jij allemaal al gevonden en waar ben je voor beloond geweest?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.