L’année 2013 a commencée avec trois vulnérabilités sur les systèmes de type CCTV & DVR. L’une d’elles, CVE 2013-2091, permet d’accéder à la configuration du système via une simple url. Un scan de quelques tranches IP utilisées sur le territoire français a permis de trouver un nombre significatif de périphériques vulnérables.
localisation géographique des périphériques vulnérables
Des raisons d’être inquiet ? Par forcément, tout est une question de design. Mais si vous avez un système présent dans l’une des zones marquées, peut être serait-il bon malgré tout de vérifier qu’il n’est pas accessible depuis Internet. Les hypothèses théoriques ont tendances à avoir une vie réelle qui leur est propre.
De cette expérience pratique, je retiens que de nombreux utilisateurs ont fait un effort significatif en matière de complexité pour leurs couples login/password. Il est donc extrêmement dommageable de voir ces vertueux efforts réduit à néant par une négligence de développement.
Une désignation qui peut paraitre dure, j'en ai conscience, mais comment appeler autrement une mauvaise gestion des droits d'un fichier de configuration contenant des données sensibles "en clair" ?
vulnérabilités : trop faciles
Le nombre de vulnérabilités touchant les systèmes de type CCTV & DVR semble par ailleurs bien faible comparé au nombre de modèles disponibles sur le marché.
Des esprits cartésiens feront remarquer que derrière les marques, nombreuses, des solutions techniques en marque blanche sont couramment utilisées et permettre de restreindre un peu cette base. Une petite recherche permettra néanmoins de se confronter à un périmètre assez vaste.
Le faible nombre de vulnérabilités permet de voir qu’assez classiquement, elles apparaissent par bouffée lorsque quelqu’un se penche un peu sérieusement sur le sujet. Les exploits disponibles, notamment ceux exploitants les possibilités de type « information disclosure », restent d’une simplicité déconcertante, aussi simple qu’une url quasi directe… On pourra retrouver certains de ces derniers sur des sites comme http://www.exploit-db.com/ ou encore http://1337day.com/search.
conclusion : ça fait mal !
Ma conclusion du jour: il est probable que la plupart des apprentis hackers seront aptes à trouver une faille permettant d’exploiter une caméra facilement accessible, tant que le niveau de base n’aura pas été significativement élevé. Pour finir sur une touche d’humour (spéciale dédicace aux fans de la série NCIS), Aby & McGee ne sont pas si impressionnant finalement. :-)
Cedric
Crédit photo : copyright Tiero - Fotolia.com
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.