Une faille critique dans une partie des caméras connectées SmartCam de Samsung

La sécurité par les œillères 11
En bref
image dediée
Securité
Vincent Hermann

Les caméras connectées SmartCam de Samsung sont à nouveau victimes d’un problème de sécurité. Il est possible d’exploiter une faille à distance pour exécuter des commandes arbitraires avec des droits root. La faute à des demi-solutions prises par le passé.

La série SmartCam de Samsung existe depuis plusieurs années et a déjà été rencontré plusieurs problèmes de sécurité. Ces objets connectés, dont toute la gamme a été revendue à Hanwha Group en 2015 (devenue Hanwha Techwin depuis), avait vu son interface d’administration distante supprimée. Une faille permettait notamment d’en changer le mot de passe administrateur sans disposer de l’ancien. Après quoi les seules possibilités d’administration passaient par le site officiel et l’application mobile dédiée.

Un composant désactivé, mais toujours présent

Les Exploiteers, un collectif de chercheurs/hackers, tire à nouveau la sonnette d’alarme, eux qui avaient déjà mis le doigt sur plusieurs des problèmes précédents. Il existe en effet un sérieux souci dans la solution adoptée précédemment : l’interface locale d’administration a été désactivée, mais pas le serveur web sous-jacent. Or, en passant par un moyen détourné, on peut toujours l’exploiter, voire la réactiver.

Le modèle SmartCam SNH-1011, sur lequel l’exploitation a pu prendre place, contient donc le fameux composant, accompagné d’un certain nombre de scripts PHP. Ces derniers sont normalement liés à un service de surveillance nommé iWatch. Or, l’un d’eux – qui permet en temps normal de mettre à jour le service – contient une faille. Elle réside dans la manière dont il s’occupe normalement de l’assainissement du nom de fichier responsable de la mise à jour.

Des commandes exécutables avec des droits root

Si des pirates parviennent à exploiter la faille, ils sont alors en capacité d’injecter des commandes shell, qui seront alors exécutées par le serveur web, resté actif. Comme l’expliquent les hackers qui ont découvert le problème, « la vulnérabilité dans Install.php peut être exploitée en utilisant un nom de fichier spécialement conçu, qui est ensuite stocké dans une commande tar, envoyée vers un appel php system() ».

Malheureusement, en plus d’une activation n’a jamais été coupée, le serveur web fonctionne avec des droits root, donc les plus hauts. En conséquence, même si le nom de fichier est fourni par un utilisateur quelconque, aucun contrôle n’a lieu et les commandes peuvent donc accomplir à peu près tout et n’importe quoi.

Toute la gamme serait vulnérable

Selon les chercheurs en sécurité, la faille a été trouvée dans le modèle SNH-1011 mais serait exploitable avec l’intégralité de la gamme SmartCam. Par ailleurs, le pirate peut utiliser les commandes avec les droits root et réactiver l’interface d’administration, simplifiant les futures opérations. Les Exploiteers publient d’ailleurs un « proof-of-concept » (prototype) permettant de réaliser cette étape.

Ce point est particulièrement dangereux car l’interface donne accès aux fonctions de surveillance. Or, puisqu’il s’agit à la base d’une caméra vendue aux particuliers pour surveiller notamment leur domicile, il devient littéralement possible d’espionner l’espace filmé. D’autre part, puisque l’interface a été seulement désactivée et non supprimée, son retour se fait… avec d’anciennes failles qui avaient été signalées, mais jamais corrigées.

Les mêmes faiblesses qui ont permis à Mirai de créer de vastes botnets

La découverte des Exploiteers est intéressante à plus d’un titre. Elle informe évidemment les possesseurs de ce modèle – et potentiellement ceux des autres dans le gamme – qu’ils feraient mieux pour l’instant de débrancher la webcam, car il n’existe actuellement aucun correctif officiel pour colmater la brèche, si on met de côté le code fourni par les Exploiteers. Elle permet également d’ajouter une couche sur le constat négatif de la sécurité général des objets connectés.

Le fait même qu’il s’agisse d’une caméra IP rappelle directement le cas de Mirai et l’exploitation en botnet de tels objets, assemblés en réseaux. Ils peuvent ensuite déclencher de vastes attaques distribuées par déni de service, comme on a pu le voir avec Dyn.

Objets connectés : attention au choix à l'achat

Plus globalement, la démonstration des chercheurs montre encore une fois à quel point la sécurité des objets connectés, particulièrement dans les gammes vendues au grand public, confine parfois au ridicule. Car dans la grande majorité des cas, les clients ne sont pas au courant de l’intense activité dans le domaine de la sécurité et peuvent se retrouver nettement démunis face à d’éventuelles menaces.

Dans le cas présent, il est bien peu satisfaisant qu’une entreprise ait jugé suffisant le fait de désactiver seulement l’interface d’administration. Si cette fonction ne devait plus être utilisée par les clients, la solution la plus adaptée aurait sans soute de la supprimer complètement. Le serveur web sous-jacent, s’il ne peut probablement être coupé entièrement, devrait avoir quant à lui des contrôles supplémentaires, ne serait-ce que pour vérifier un tant soit peu le nom des fichiers qui lui sont envoyés.

Si vous devez acheter prochainement ce type de produit, nous ne saurions que trop vous recommander de prendre soin à votre choix. Renseignez-vous sur la manière dont le constructeur aborde la sécurité, si le produit a déjà eu des problèmes par le passé, la manière, l’efficacité et la rapidité de la solution proposée, etc. Les objets connectés peuvent rendre bien des services mais, comme l’indiquait récemment Mozilla, ils peuvent être synonymes d’intrusion dans la vie privée.


chargement
Chargement des commentaires...