Beveiligingsonderzoeker Pierre Kim ontdekte het lek al in maart en sloeg alarm. Blijkbaar hebben fabrikanten en eigenaren maar weinig met deze informatie gedaan aangezien er nog steeds meer dan honderd duizend lekke camera's aan het internet hangen.

Beveiligingsbedrijf Trend Micro ontdekte in april dat er een nieuw malware-pakket zich verspreidt over het internet. Deze malware maakt gebruik van de, door Kim ontdekte achterdeuren. De malware infecteert de camera's en bouwt zo een botnet. Deze kan vervolgens worden gebruikt om DDoS-aanvallen uit te voeren.

Als de malware eenmaal de apparatuur heeft besmet, blokkeert het de camera's zodat anderen de lekken verder niet kunnen gebruiken.

Broertje van Mirai?

Deze malware, Persirai genaamd, leent wat code van Mirai, de beruchte malware die vorig jaar een gigantisch botnet bouwde van IoT-apparatuur, gigantische DDoS-aanvallen uitvoerde en grote websites en diensten als Netflix, Twitter, GitHub, Reddit en Airbnb op de knieën kreeg. Mirai maakte daarbij gebruik van standaardwachtwoorden. Persirai leent wat functies van Mirai waaronder het afspeuren van het internet om nieuwe apparaten met de achterdeuren te ontdekken.

Op dit moment zijn er nog geen websites aangevallen, maar dat is natuurlijk slechts een kwestie van tijd. Kim heeft eerder geprobeerd contact op te nemen met verschillende camerafabrikanten, maar merkte op dat het zeer lastig was ze te bereiken. Trend Micro is inmiddels in contact gekomen met de originele fabrikant (die de camera's als OEM doorverkoopt aan andere fabrikanten die er een eigen label opplakken), maar weigert te vertellen om welke fabrikant dat precies gaat. De fabrikant heeft beloofd een patch uit te rollen.

Een hoop bekende merken

Er zijn op dit moment meer dan 1250 verschillende camera-merken die vatbaar zijn voor deze kwetsbaarheden. Het gaat onder andere om camera's van 3com, 7Links, ABS, ADT, AVACOM, Acromedia, Airlink, Akai, Bravolink, BRAUN, Conceptronic, D-Link, EZCam, FoxCam, GoAhead, Hsmartlink, IeGeek, Kinson, Logitech (C920), Marmitek, Netview, Panasonic, Polaroid, Provision, SafeHome, Secam, Trust, Xvision, ZyXel en vele, vele andere. De volledige lijst en details over alle kwetsbaarheden kan hier worden bekeken.

Workaround?

Gebruikers kunnen de schade enigszins beperken door de camera's achter een firewall te plaatsen en toegang tot de Command and Control-servers te blokkeren. Trend Micro gaat in deze blogpost wat dieper in op de technische details.