RSA的一名研究人员表示,在至少70家供应商销售的安全摄像头中发现的错误固件,可能是许多信用卡失窃的原因之一,这些失窃给零售商造成了巨大损失。
Rotem肯纳基于他的研究一篇论文RSA在2014年12月发布了一个名为Backoff的恶意软件,该软件窃取了销售点系统处理过的支付卡信息。
2014年8月,美国特勤局和国土安全部警告称,有1000多家美国企业可能已经受到了退让的影响。
在这一艰难的一年之后,许多主要零售商成为大规模支付卡失窃的受害者,包括塔吉特(Target)、内曼•马库斯(Neiman Marcus)、迈克尔斯(Michaels)和UPS Store。
肯纳查看了RSA从被Backoff感染的电脑上收集的技术数据。奇怪的是,许多服务器在81,82和8000上运行着开放端口的小型Web服务器。
这款名为“跨网络服务器”的软件被证明是用于CCTV DVR(数字录像机)设备的,这种设备被零售商广泛用于物理监控。但服务器软件仍在运行,并对互联网开放,这是一个潜在的安全风险。
Shodan据Kerner's说,该搜索引擎是一个寻找向互联网开放的联网设备的搜索引擎,结果显示有3万台机器运行相同的软件那样。
肯纳发现网络服务器软件是一家中国公司制造的TVT。他从公司网站上下载了一个CCTV DVR设备的固件版本。
通过探测固件,他发现了代码中的一个弱点,可以让他通过恶意程序远程访问该设备URI。
最大的安全问题是这种软件不能从公共互联网上访问。只要摄像头软件对互联网开放,就能帮助攻击者识别特定网络,并确定该网络是否属于某个零售商。
接入设备本身可能有助于进入更广泛的网络,从而最终形成支付处理系统。
肯纳写道:“过去,这些老时尚窃贼经常在去收银台的路上强行闯入商店,他们不得不试图避开或摧毁任何监控设备。”“数字小偷是通过他们进入商店的。真正的好莱坞材料。”
他的调查发现,至少有70家制造商使用相同的固件,他在一份报告中列出了这些固件。肯纳试图联系TVT的官员,警告他们这个漏洞,但失败了,所以他决定公开揭露这个问题。
TVT官员周四无法通过电子邮件立即联系上。
固件(是低级代码)获得许可并被许多供应商用于路由器、IP相机和一些消费电子产品的情况并不少见。
但众所周知,供应商在创建补丁方面是出了名的松懈。正如沃纳所言:依靠一个供应商的补丁“到达你的家门口”是很困难的。Adding to the complexity is that each vendor may use the firmware in many different models.
对于运行这类摄像机的人,沃纳建议的防御措施是“拒绝任何来自未知IP地址的DVR服务的连接。”