Múltiples vulnerabilidades en productos que usen XMeye P2P Cloud Server de Hangzhou Xiongmai Technology Co., Ltd
Todos los productos que utilicen XMeye P2P de Cloud Server están afectados por estas vulnerabilidades. Hangzhou Xiongmai Technology Co., Ltd actúa ante todo como un fabricante de equipos originales (Original Equipment Manufacturer, OEM) y vende pocos, si los hay, productos de la marca Xiongmai. Varios proveedores venden dispositivos de su propia marca con hardware/firmware de Hangzhou Xiongmai Technology Co., Ltd entre sus componentes. Para comprobar si están afectados o no por estas vulnerabilidades se recomienda realizar las siguientes comprobaciones:
- Comprobar si la documentación/especificaciones del producto menciona la característica "XMEye".
- Accediendo a la página “err.htm” del dispositivo (http://<Camera ip=""address="">/Err.htm). Verificar si se hace referencia a XiongMai o XMeye.
El investigador Stefan Viehböck, de SEC Consult Vulnerability Lab, reportó estas vulnerabilidades de tipo usuario oculto con funcionalidades no documentadas y enumeración de objetos predecible. Un posible atacante remoto, podría explotar estas vulnerabilidades para obtener un acceso a diferentes dispositivos de video, permitiendo cambiar la configuración, reemplazar el firmware y/o ejecutar código remoto.
Hangzhou Xiongmai Technology Co., Ltd no ha proporcionado ninguna mitigación para estas vulnerabilidades.
El NCCIC ICS-CERT recomienda:
- Cambiar la contraseña de la cuenta “admin” y de la cuenta no documentada “default”.
- Verificar el origen de firmware de las actualizaciones.
- Listado de objetos predecible: Un potencial atacante remoto, podría utilizar la dirección MAC para predecir la enumeración de los IDs almacenados en Cloud. Con este ID, el atacante puede descubrir y conectarse a dispositivos válidos activos usando las aplicaciones legítimas. Se ha reservado el identificador CVE-2018-17917 para esta vulnerabilidad.
- Funcionalidades ocultas: Existe dentro de cada dispositivo un usuario sin documentar “default” con una contraseña por defecto. Un atacante remoto podría logar en cualquier dispositivo XMeye mediante esta cuenta, para acceder o visualizar los videos almacenados. Se ha reservado el identificador CVE-2018-17919 para esta vulnerabilidad.
- Ausencia de cifrado en datos sensibles: Existen comunicaciones no cifradas sobre operaciones con datos sensibles, estas incluyen el servicio de actualización de firmware de XMeye. Esto podría permitir a un atacante visualizar los fragmentos de video intercambiados, robar las credenciales de inicio de sesión de XMeye o suplantar el servicio de actualizaciones inyectando código malicioso. Se ha reservado el identificador CVE-2018-17915 para esta vulnerabilidad.
