Kelemahan firmware D-Link dapat memungkinkan streaming video IP

Jika Anda menjalankan bank dan menggunakan kamera video IP dari D-Link, Anda mungkin ingin memperhatikan hal ini.

Sejumlah kamera video pengawas berbasis IP dibuat oleh D-Link memiliki kerentanan firmware yang dapat memungkinkan penyerang untuk mencegat aliran video, menurut para peneliti keamanan.

Core Security, sebuah perusahaan yang berbasis di Boston yang mengkhususkan diri dalam deteksi kerentanan dan penelitian, yang diterbitkan pada hari Senin rincian lima kerentanan dalam firmware D-Link, yang terbungkus setidaknya dalam 14 produknya.

[Bacaan lebih lanjut: Pelindung gelombang terbaik untuk elektronik mahal Anda]

D-Link membuat berbagai kamera yang terhubung ke Internet yang dijualnya untuk bisnis dan konsumen. Kamera dapat merekam gambar dan video dan dikontrol melalui panel kontrol berbasis Web. Umpan hidup dapat dilihat di beberapa perangkat seluler.

Salah satu model rentan, DCS-5605 / DCS-5635, memiliki fitur deteksi gerakan, yang D-Link sarankan dalam materi pemasarannya akan baik untuk bank, rumah sakit dan perkantoran.

Peneliti Core Security menemukan kemungkinan untuk mengakses tanpa melakukan otentikasi aliran video langsung melalui RTSP (protokol pengaliran waktu nyata) serta keluaran ASCII dari aliran video dalam model yang terpengaruh. RTSP adalah protokol tingkat aplikasi untuk mentransfer data real-time, menurut Gugus Tugas Teknik Internet.

Para peneliti juga menemukan masalah dengan panel kontrol berbasis web yang akan memungkinkan peretas memasukkan perintah arbitrer. Dalam kesalahan lain, D-Link login mandat keras ke firmware yang "secara efektif berfungsi sebagai backdoor, yang memungkinkan penyerang jauh untuk mengakses aliran video RTSP," kata Core Security dalam penasehatnya.

Rincian teknis dijelaskan dalam posting di bagian Pengungkapan Penuh dari Seclists.org, bersama dengan daftar produk yang diketahui terkena dampak, beberapa di antaranya telah dihapus secara bertahap oleh D-Link.

Keamanan Inti memberi tahu D-Link tentang masalah pada 29 Maret, menurut catatan interaksi kedua perusahaan yang termasuk dalam pengeposan pada Pengungkapan Penuh. Log, yang ditulis oleh Core, berisi rincian menarik tentang bagaimana kedua perusahaan tersebut berkorespondensi dan tampaknya memiliki beberapa perselisihan.

Menurut Core, D-Link mengatakan memiliki "program hadiah yang tidak dipublikasikan untuk vendor keamanan." Banyak perusahaan memiliki program bug yang memberi imbalan kepada peneliti dengan uang tunai atau insentif lain untuk menemukan masalah keamanan dalam produk mereka dan memberi tahu mereka sebelum mengumumkan perinciannya secara publik.

Sekitar 20 Maret, D-Link meminta agar Core Security menandatangani "memo pemahaman" sebagai bagian dari program, yang ditolak Core. Ketentuan memo itu tidak dijelaskan. Core mengatakan kepada D-Link "bahwa menerima uang dari vendor mungkin bias pandangan laporan."

Kedua perusahaan memiliki minor run-in lain. D-Link memberi tahu Core bahwa akan merilis patch dan panduan untuk memperbaiki masalah pada Forum Dukungan D-Link. D-Link akan menunggu sebulan sebelum membuat pengumuman publik.

Core Security tidak menyukai saran itu. Rabu lalu, Core meminta D-Link "untuk klarifikasi mengenai tanggal rilis D-Link dan memberitahukan bahwa merilis perbaikan ke grup tertutup istimewa dan / atau forum atau daftar tertutup tidak dapat diterima."

Forum D-Link memang memiliki bidang info masuk, tetapi tampaknya semua orang dapat melihat banyak pos tanpa mendaftar. D-Link kembali sehari kemudian dan mengatakan bahwa patch siap dan akan diposting ke situs webnya "selama beberapa hari ke depan," tulis Core.

D-Link tidak segera menanggapi permintaan untuk komentar. Tidak jelas dari forum dukungan perusahaan jika pembaruan firmware telah diposting secara publik.

Core Security memuji para penelitinya, Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria, dan Fernando Miranda dengan menemukan masalah.