Zo'n 130.000 ip-camera's en digitale videorecorders (DVR's) van fabrikant AVTech zijn kwetsbaar voor aanvallen via het internet, maar de fabrikant weigert om de problemen op te lossen. Een jaar geleden werd AVTech gewaarschuwd door onderzoekers van Search-Lab.

De onderzoekers hadden in totaal 14 verschillende beveiligingslekken ontdekt. Zo wordt het beheerderswachtwoord in platte tekst opgeslagen, is er geen bescherming tegen csrf-aanvallen, is het mogelijk om afgeschermde gegevens zonder authenticatie te benaderen, kan een aanvaller zonder inloggegevens systeemcommando's met rootrechten uitvoeren, is het mogelijk om op verschillende manieren de inlogcaptcha's en authenticatie te omzeilen en wordt het certificaat voor de https-verbinding niet gecontroleerd.

Eén van de verschillende "command injection" kwetsbaarheden maakt het mogelijk om willekeurige systeemcommando's met rootrechten uit te voeren en wordt actief gebruikt om AVTech-apparaten aan te vallen, aldus de onderzoekers. Volgens de zoekmachine Shodan zijn er meer dan 130.000 AVTech-apparaten op internet te vinden en is het één van de populairste zoekopdrachten bij de zoekmachine.

De onderzoekers waarschuwden de Taiwanese fabrikant op 19 oktober vorig jaar, maar ontvingen geen reactie. In totaal werd er vier keer geprobeerd om contact op te nemen, maar alle keren zonder succes. Daarop zijn nu de details van de kwetsbaarheden openbaar gemaakt. Gebruikers krijgen het advies het standaard beheerderswachtwoord aan te passen en het beheerderspaneel van de apparaten niet aan het internet te hangen.

Bron; Security