O investigador de segurança Vladislav Yarmak publicou informações acerca de uma backdoor que ele descobriu no firmware Xiongmai. É utilizado por milhões de dispositivos inteligentes em todo o mundo. Neles estão câmeras de segurança, DVRs e outros sistemas da Internet das Coisas. De facto, muitos dispositivo têm este software. Neste momento, ainda não está disponível uma correção de firmware. É que Yarmak não relatou o problema à empresa. Isto devido a uma falta de confiança no fornecedor para corrigir esta situação adequadamente.
Alerta! Milhares de dispositivos que temos em casa estão em risco!
Num resumo técnico detalhado que Yarmak publicou este investigador afirma que a falha de segurança é uma mistura de quatro bugs mais antigos que foram descobertos e tornados públicos em março de 2013, março de 2017, julho de 2017 e setembro de 2017. Dito isto, o fornecedor não conseguiu corrigir adequadamente.
Segundo Yarmak, a backdoor pode ser explorada através de uma série de comandos pela porta TCP 9530 para dispositivos que usam chips HiSilicon e firmware Xiongmai. Os comandos habilitarão o serviço Telnet num dispositivo vulnerável.
Entretanto, este investigador revela que, assim que o serviço Telnet esteja em funcionamento, o invasor poderá efetuar login com uma das seis credenciais Telnet que são públicas e que concedem controlo total sobre um dispositivo vulnerável.
Estes logins Telnet foram encontrados nos anos anteriores colocados no firmware, mas, apesar das divulgações públicas e do abuso das botnets nada foi feito para as remover.
Como Yarmak não pretendia relatar a vulnerabilidade, os patches de firmware não estão disponíveis. Em vez disso, este investigador de segurança criou um código que pode ser usado para testar se um dispositivo “inteligente” está ou não vulnerável.
Se um dispositivo for considerado vulnerável, o investigador russo recomenda que os proprietários do dispositivo o abandonem e substituam de imediato.
O código está disponível no GitHub. As instruções de compilação podem ser encontradas aqui.
É provável que esta backdoor esteja num número incontável de dispositivos. Isto porque a a Hangzhou Xiongmai Technology Co., que fabrica o firmware Xiongmai, é uma conhecida vendedora de produtos de marca branca, vendidos sob dezenas de outras marcas. Entretanto foi também citado outro investigador. Em setembro de 2017, localizou o mesmo mecanismo de backdoor no firmware que estava a ser usado pelos DVRs vendidos por dezenas de fornecedores e por outros equipamentos que temos em casa, ao nível de câmaras e outros sistemas de controlo.
Entretanto pode encontrar aqui uma lista completa dos dispositivos afetados.
