120.000 ip-camera's kwetsbaar voor nieuw IoT-botnet

[Captain Kirk]

Wereldwijd lopen meer dan 120.000 ip-camera's risico om onderdeel van een nieuw Internet of Things-botnet te worden genaamd Persirai. Daarvoor waarschuwt het Japanse anti-virusbedrijf Trend Micro. Het botnet is in staat om meer dan 1000 verschillende cameramodellen aan te vallen.

Besmette apparaten worden gebruikt voor het uitvoeren van ddos-aanvallen. Om de camera's aan te vallen maken de aanvallers verbinding via tcp-poort 81. Vervolgens wordt er een kwetsbaarheid gebruikt die afgelopen maart werd geopenbaard, maar nog altijd niet is gepatcht. De ip-camera's zijn door een Chinese fabrikant gemaakt en worden vervolgens door andere bedrijven onder verschillende namen, merken en functies verkocht.

Zodra de malware toegang tot een ip-camera heeft verkregen verwijdert die zichzelf en draait alleen nog in het geheugen. Persirai maakt een aanpassing aan de code van de camera's, zodat het beveiligingslek niet meer door andere malware en aanvallers is aan te vallen. Als de camera echter wordt herstart zal de malware weer verdwijnen en is het apparaat weer lek. Onderzoekers vonden via de Shodan-zoekmachine 122.000 ip-camera's die via internet toegankelijk en kwetsbaar zijn.

Ip-camera's maken vaak van Universal Plug and Play (UPnP) gebruik, waardoor de apparaten zonder dat gebruikers dit weten een poort op de router kunnen openzetten. Dat maakt ze echter kwetsbaar voor aanvallers. Gebruikers krijgen dan ook het advies om UPnP op hun router uit te schakelen, zodat de apparaten niet onopgemerkt via internet benaderbaar zijn.

 

 

bron: security.nl