Foro SpamLoco

Se ha detectado una vulnerabilidad que afecta a varias cámaras IP que utilizan el chipset Hi35xx, el fallo permite acceder a todos los usuarios y contraseñas que se configuran en la cámara como por ejemplo el del FTP, WiFi, e-mails, servicios DDNS y por supuesto la contraseña del panel de administración. Toda esta información se guarda en texto claro.

Basta conocer la IP y el puerto utilizado por la cámara: IP:puerto/web/cgi-bin/hi3510/param.cgi?cmd=getuser

Es un problema grave, ademas modificar cualquier configuración de la cámara y espiar, pueden acceder a las contraseñas las cuales seguramente muchos usuarios utilicen en otros servicios.

Algunos de los fabricantes y modelos de cámaras afectadas:

FOSCAM - FI9820W, FI9802W, FI8608W, FI8601W FI8602W, FI8620, FI8609W, FI8919WZ
WANSVIEW - NCH-536MW, NCH536MW, NCH-532MW, NCH532MW, NCH-531MW, NCH531MW
Suneyes - SP-HS05W, SP-HS02W
DBPOWER - H.264 HD MEGAPIXEL IPCAM
AGASIO - A522W, A622W
DERICAM - H501W
DSN-Q10
NVH-589MW
ASTAK MOLE
EasyN - HS-691
EasySE - H2
CYBERNOVA CN-536MW
NO BRAND IP-536MW
Shenzhen Morning MJ536MW Jetone Technology Co., Ltd.

Por el momento no hay un parche o versión del firmware que solvente el problema, por lo que se recomienda tomar las medidas necesarias para limitar el acceso a las cámaras por medio de la red local e internet, además sería bueno realizar modificaciones en los servicios que se estén utilizando -FTP, e-mail, etc- por si otro usuario accede explotando el fallo (por ejemplo se podrían utilizar contraseñas temporales).

Más información sobre la vulnerabilidad:

Grave vulnerabilidad en varios modelos de cámaras IP
http://unaaldia.hispasec.com/2012/10/gr ... delos.html

H264 IP Camera Web Interface Authentication Bypass Test Tool
http://foscam.us/forum/h264-ip-camera-w ... t3252.html

Para aquellos que tengan una cámara IP de esas compradas en los sitios chinos como DealExtreme, pueden probar la vulnerabilidad dado que algunas cámaras son clones de estas marcas y pueden estar utilizando el mismo chipset. En mi caso tengo una de estas (clon de Foscam), pero no es vulnerable a este fallo... aunque no tengo claro qué modelo es (no dice por ningún lado).

La vulnerabilidad es parecida a la que se detectó hace algún tiempo en las cámaras IP TRENDnet, pues por medio de una URL se puede acceder a ellas sin necesidad de conocer el usuario y la contraseña. Aunque el problema ya fue resuelto, aún se pueden encontrar muchísimas cámaras IP expuestas en internet y vulnerables.

Relacionado: Google hacking, buscando cosas prohibidas y secretas en la red