Mehrere Millionen Überwachungskameras und digitale Video-Recorder sind mit nicht zu ändernden Standard-Passwörtern versehen und auf einfachem Wege aus dem Internet ausfindig zu machen. Die Geräte, die unter den Markennamen der verschiedensten Hersteller verkauft werden, enthalten Hardware des chinesischen Herstellers Xiongmai und sind auf Grund von Sicherheitslücken in dessen Technik trivial einfach zu knacken.

Angreifer können sie aus der Ferne kapern, Videos anschauen oder manipulieren sowie Schadcode auf den Geräten ausführen. Die Sicherheitsfirma SEC Consult, welche die Lücken entdeckt hat, vermutet mehr als 1,3 Millionen verwundbare Systeme alleine in Deutschland. In China gibt es demnach mehr als 5,4 Millionen unsichere Kameras und Festplatten-Recorder mit Xiongmai-Technik.

Die Kameras sind einfach zu finden

Die verwundbaren Geräte sind laut SEC Consult über einen Cloud-Dienst namens XMEye verbunden, der es den Anwendern der Kameras und Recorder erlaubt, aus dem Internet auf Videoaufnahmen zuzugreifen und die Geräte umzukonfigurieren. Die ID-Nummer über die man die Systeme aufspüren kann ist allerdings nicht pseudo-zufällig gewählt, sondern wird aus der MAC-Adresse des Gerätes abgeleitet. Ein Anfängerfehler, denn von der MAC-Adresse eines Gerätes eines bestimmten Herstellers auf andere zu schließen, ist kinderleicht. Und so gelang es den Forschern von SEC Consult auch, Tausende von Kameras aufzuspüren.

Angreifer können die verwundbaren Geräte zum Beispiel mit einem automatisierten Scanner-Skript ausfindig machen. Die Forscher wurden beim Versuch, Zehntausende Anfragen an die Xiongmai-Server von einer einzigen IP-Adresse zu senden, auch in keiner Weise gestört. Das deutet darauf hin, dass Xiongmai seine Server nicht oder nur ungenügend gegen solche Scans geschützt hat. Hat ein Angreifer eine Liste mit potenziellen Zielen zusammengetragen, muss er nur mittels der ID der Geräte über die Cloud-Server eine Ziel-IP-Adresse einholen. Mit etwas Glück kann er sich auf dem Gerät mit dem Benutzernamen admin ohne Passwort einloggen – das ist die Standard-Konfiguration der Geräte ab Werk.

Hintertür des Herstellers

Hat der Besitzer der Kamera das Admin-Passwort geändert, kann der Angreifer auf den Benutzer default zugreifen. Dieses Konto wird in der Dokumentation der Geräte nicht erwähnt und das Passwort ist nicht ab-änderbar; es ist immer der Name des Kontos rückwärts. Hierbei handelt es sich wohl um eine Hintertür des Herstellers Xiongmai. Da das Passwort für dieses Konto auf den Geräten mit einem unsicheren Hashing-Algorithmus gespeichert wurde, der bereits öffentlich als geknackt bekannt ist, war es für die Forscher wohl nicht schwer, es auszulesen. Oder sie haben es einfach erraten.

Sind die Angreifer über einen dieser Wege in die Kamera oder den digitalen Recorder eingedrungen, haben sie mehrere Möglichkeiten: Sie können sich Video-Aufzeichnungen anschauen, gespeicherte Videos löschen oder manipulieren und unter Umständen auch Live-Video abrufen. Da die Angreifer über den Cloud-Zugang allerdings auch neue Firmware auf die Geräte spielen können, besteht allerdings auch die Möglichkeit, Schadcode einzuspielen. Das ist nicht besonders schwer, denn die Firmware ist nicht signiert und die Angreifer haben Zugriff auf die DNS-Einstellungen der Geräte. Auf diesem Wege ließen sich die Kameras zum Beispiel vollautomatisch in ein Mirai-ähnliches IOT-Botnetz einspannen. Der Schadcode würde bei dieser Angriffsmethode Neustarts des Gerätes ohne Probleme überleben.

Welche Kameras sind angreifbar?

Herauszufinden, ob man ein betroffenes Gerät im Einsatz hat, ist gar nicht so einfach. Der Name des OEM-Herstellers Xiongmai kommt nämlich so gut wie nirgendwo in der Software oder Dokumentation der Geräte vor. Eventuell kann man im Webinterface der Geräte hinter die Zugriffs-IP der Kamera /err.html anhängen und bekommt eine Warnmeldung angezeigt, in der Xiongmai namentlich erwähnt wird – das scheint aber nicht bei allen Geräten zu funktionieren.

SEC Consult vermutet verwundbare Xiongmai-Technik unter anderem in den Geräten der folgenden Firmen: 9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision, sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo und ZRHUNTER.

Sicherheitslücken in Xiongmai-Produkten sind kein neues Phänomen. Bereits Ende 2016 gerieten Geräte der Firma im Zuge der ersten Mirai-Angriffe in den Fokus von Sicherheitsforschern. Schon damals gab es eine Hintertür mit fest-eingestellten Passwörtern in Überwachungskameras und digitalen Recordern von Xiongmai. Diese Lücke wurde später von der Firma mit einem Firmware-Update geschlossen. Offensichtlich besann man sich bei Xiongmai allerdings nicht, solche Hintertüren generell aus der eigenen Hardware herauszulassen, mit den offensichtlichen Folgen. Wie lange es diesmal dauert, die unzähligen Geräte-Versionen abzusichern, in denen Lücken des chinesischen OEM-Herstellers stecken, ist ungewiss. Wenn am Ende überhaupt alle Geräte abgesichert werden. Wer auf Nummer Sicher gehen will, zieht verdächtige Geräte wohl vorerst aus dem Verkehr, bevor schlimme Dinge passieren. (fab)