I tecnici di VDOO, società israeliana specializzata nello svolgimento di verifiche sulla sicurezza dei dispositivi always connected e, in particolare, sui device per l’Internet delle Cose (IoT), hanno scoperto sette vulnerabilità critiche in 400 modelli di telecamere Axis.
I prodotti Axis sono realizzati dall’omonima società svedese, impegnata nella progettazione, nello sviluppo e nella commercializzazione di articoli evoluti destinati alla videosorveglianza e alla sicurezza.
Nell’ambito del Project Vizavis, iniziativa promossa dagli esperti di VDOO con l’intento di controllare le eventuali lacune presenti nelle videocamere IP, dopo Foscam (Vulnerabilità in 55 modelli di telecamere IP Foscam: firmware da aggiornare subito) i tecnici dell’azienda segnalano la scoperta di diversi bug in molteplici modelli di telecamere Axis.
Per sfruttare le falle, un aggressore remoto deve necessariamente conoscere l’IP pubblico sul quale risponde una videocamera Axis per poi eseguire uno script malevolo che consente di assumere pieno controllo dell’altrui telecamera senza conoscere i dati di autenticazione (nome utente e password).
I tecnici di VDOO spiegano che combinando le vulnerabilità scoperte nelle videocamere Axis un aggressore moto può accedere allo streaming video in tempo reale, bloccare la videocamera, controllarla a proprio piacimento, aggiungere la videocamera vulnerabile a una bonet, modificare arbitrariamente il software a bordo della telecamera, utilizzare il dispositivo vulnerabile come “testa di ponte” per attaccare altri dispositivi collegati alla rete locale, sfruttare la videocamera per sferrare attacchi DDoS, mining di crittomonete e così via.
Fortunatamente, come nel caso di Foscam, VDOO non ha rilevato attacchi in corso ma gli utenti sono esortati a installare prima possibile le patch rilasciate dal produttore.
Axis ha pubblicato un documento riassuntivo in cui sono elencati i 400 modelli di videocamere affetti dal problema: l’installazione delle nuove versioni del firmware consente di mettersi al riparo da qualunque rischio.
Da parte nostra, anche nel caso delle telecamere IP Axis e delle videocamere di qualunque produttore, suggeriamo comunque di fare riferimento alle indicazioni pubblicate nell’articolo Vulnerabilità in 55 modelli di telecamere IP Foscam: firmware da aggiornare subito evitando di esporre l’interfaccia di amministrazione sull’IP pubblico. È infatti molto facile per un aggressore, con una semplice scansione sugli IP pubblici, individuare eventuali bersagli: Port scanning: un’arma a doppio taglio. Difendetevi.
L’analisi elaborata da VDOO e incentrata sulle falle di sicurezza scoperte nei prodotti Axis è consultabile a questo indirizzo.