+7 (925) 517-17-14
IP видеонаблюдение | Установка и настройка IP камер | Монтаж и обслуживание в Московской области, Бронницы, Раменское, Жуковский, Люберцы, Воскресенск, Домодедово, Электросталь, Ногинск, Котельники и др.

IP видеонаблюдение | Установка и настройка IP камер | Монтаж и обслуживание в Московской области, Бронницы, Раменское, Жуковский, Люберцы, Воскресенск, Домодедово, Электросталь, Ногинск, Котельники и др.

Видеонаблюдение (англ. Сlosed Circuit Television, CCTV — система замкнутого телевидения) — процесс, осуществляемый с применением оптико-электронных устройств, предназначенных для визуального контроля или автоматического анализа изображений (автоматическое распознавание лиц, государственных номеров). More »

GSM сигнализации | Монтаж GSM охраны | Установка в Московской области

GSM сигнализации | Монтаж GSM охраны | Установка в Московской области

На защищаемом объекте устанавливается «классическая» система охранной сигнализации. Дополнительно эта система оснащается специализированным GSM модемом. При возникновении тревожной или сервисной ситуации контрольная панель охранной сигнализации активизирует этот модем. More »

Пультовая охрана | Монтаж | Установка в Московской области

Пультовая охрана | Монтаж | Установка в Московской области

Пультовая охрана – это защита объектов недвижимости от проникновения, нападения, пожара и технических аварий с применением современных систем сигнализации и выездом групп быстрого реагирования при поступлении сигналов тревоги на пульт централизованного наблюдения. More »

Установка домофонов в Москве и Московской области | Монтаж и обслуживание видеодомофонов | Индивидуальные и подъездные домофоны

Установка домофонов в Москве и Московской области | Монтаж и обслуживание видеодомофонов | Индивидуальные и подъездные домофоны

Домофон — электронное переговорное устройство, служащее для обеспечения безопасности жилых и рабочих помещений. Домофон позволяет человеку, находящемуся внутри здания, без непосредственного контакта с лицом, желающим попасть внутрь помещения, преградить или разрешить ему доступ внутрь. More »

Система контроля и управления доступом - СКУД :: Установка СКД Москва и Московская область

Система контроля и управления доступом - СКУД :: Установка СКД Москва и Московская область

Система контроля и управления доступом (СКУД) - совокупность совместимых между собой аппаратных и программных средств, направленных на ограничение и регистрацию доступа людей, транспорта и других объектов в (из) помещения, здания, зоны и территории. More »

 
17.01.2019   Новости

Крупнейший OEM-производитель систем видеонаблюдения Xiongmai «выходит из тени» из-за уязвимости его продукции

26.10.2018

Критическая уязвимость систем видеонаблюдения от китайской компании Xiongmai заставила всех узнать о существовании этого крупнейшего, но совершенно незаметного производителя. Компания продаёт свою продукцию только через OEM, и теперь многие пользователи постепенно узнают, что, оказывается, являются её заказчиками.

Общее число брендов, под которыми продаются изделия компании с полным именем Hangzhou Xiongmai Technology Co., — более 100. Возможно, это далеко не всё. Компания, производящая системы видеонаблюдения в огромных количествах, была абсолютно незаметна. Впервые она появилась в поле зрения специалистов два года назад из-за того, что на её продукции распространялся ботнет Mirai.

И вот теперь компания SEC Consult обнаружила критическую уязвимость продуктов Xiongmai, связанную с её облачным сервисом XMEye. Его использование разрешено во всех продуктах Xiongmai, причём по умолчанию. Доступ к удалённым камерам через этот облачный сервис позволяет обходить межсетевые экраны.

Специалисты разбрались с тем, как каждому устройству Xiongmai приписывается идентификационный номер (ID), через который пользователь связывается с этим устройством. Оказалось, что он, несмотря на свою сложность (например, 68ab8124db83c8db), не является случайным, а строится по MAC-адресу, который, в свою очередь, содержит идентификаторы вендора и интерфейса. За счёт этого ID можно частично вычислить, а затем достроить подбором.

Исследователи проверили это, просканировав облачную инфраструктуру Xiongmai, и нашли 9 млн устройств с вычисляемыми ID. Несмотря на то, что они посылали по 33 тысячи запросов с одного IP-адреса, сканируемое облако не блокировало их — такой защиты в нём нет.

Далее исследователи определили, что доступ ко многим устройствам производится через логин admin с пустой строкой в качестве пароля. Такой «админ» может просматривать видеопоток, менять настройки и даже обновлять прошивки. Любой желающий может также использовать логин default («по умолчанию») с паролем tluafed (то же слово наоборот). Такой пользователь получает, как минимум, доступ к видеопотоку.

Получив доступ к устройству Xiongmai, злоумышленник может через обновление прошивки внедрить в него вредоносный код. В итоге он сможет смотреть видеоизображение и даже вступать со своей жертвой в двухстороннюю аудиосвязь. Другая возможность — проникнуть в локальную сеть организации и далее — в другие системы. Наконец, умелый хакер может организовать ботнет из устройств Xiongmai.

Источник: http://www.secnews.ru/foreign/23896.htm#ixzz5cshuTp98
Security News