{"id":3447,"date":"2018-10-16T09:26:17","date_gmt":"2018-10-16T08:26:17","guid":{"rendered":"https:\/\/www.securame.com\/blog\/?p=3447"},"modified":"2018-12-06T12:56:19","modified_gmt":"2018-12-06T11:56:19","slug":"vulnerabilidad-en-el-acceso-p2p-en-equipos-del-fabricante-xiongmai-xmeye","status":"publish","type":"post","link":"https:\/\/www.securame.com\/blog\/vulnerabilidad-en-el-acceso-p2p-en-equipos-del-fabricante-xiongmai-xmeye\/","title":{"rendered":"Vulnerabilidad en el acceso P2P en equipos del fabricante Xiongmai (XMEye)"},"content":{"rendered":"<p><a href=\"https:\/\/sec-consult.com\/en\/blog\/advisories\/vulnerabilities-xiongmai-ip-cameras-nvrs-dvrs-cve-2018-17915-cve-2018-17917-cve-2018-17919\/\" target=\"_blank\" rel=\"noopener\"><strong>Sec-consult<\/strong><\/a> ha hecho p\u00fablica una vulnerabilidad en el acceso por P2P a los grabadores y c\u00e1maras IP del fabricante <a href=\"http:\/\/www.xiongmaitech.com\/en\/\" target=\"_blank\" rel=\"noopener\"><strong>Xiongmai<\/strong><\/a>, un fabricante chino (OEM) poco conocido por su nombre, pero cuyos equipos se venden bajo muchas otras marcas, entre las que se encuentran <strong>KMoon<\/strong>, <strong>Floureon<\/strong>, <strong>Sannce<\/strong>, <strong>Wnk<\/strong>, <strong>Zmodo<\/strong>, <strong>Canavis<\/strong> o <strong>Dagro<\/strong>.<\/p>\n<p>Es probable que no os suenen muchas, o directamente ninguna de estas marcas; pero pod\u00e9is reconocer de una forma sencilla un equipo fabricado por Xiongmai por el hecho de que para acceder de forma remota a estos equipos se usa la aplicaci\u00f3n de m\u00f3vil <strong>XMEye<\/strong>. Una gran cantidad de equipos low cost vendidos en Amazon, Ebay, Aliexpress, y webs de este estilo son fabricados por Xiongmai.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"aligncenter size-full wp-image-3448\" src=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_1.jpg\" alt=\"\" width=\"649\" height=\"774\" srcset=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_1.jpg 649w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_1-126x150.jpg 126w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_1-252x300.jpg 252w\" sizes=\"(max-width: 649px) 100vw, 649px\" \/><\/p>\n<p>Es posible incluso reconocer un dispositivo Xiongmai por otras apps, puesto que hay versiones renombradas de la misma aplicaci\u00f3n, como por ejemplo <strong>JFEye<\/strong>, <strong>GoodEye<\/strong> o <strong>iCSee Pro<\/strong>.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-3449 size-medium\" src=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_2-188x300.jpg\" alt=\"\" width=\"188\" height=\"300\" srcset=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_2-188x300.jpg 188w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_2-94x150.jpg 94w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_2-768x1225.jpg 768w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_2-642x1024.jpg 642w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_2.jpg 1080w\" sizes=\"(max-width: 188px) 100vw, 188px\" \/><\/p>\n<p>Otra forma de saber si nuestro dispositivo est\u00e1 fabricado por Xiongmai es accediendo a la p\u00e1gina de error del equipo, mediante la UTL <strong>http:\/\/IP del equipo\/err.htm<\/strong>, ya que aunque el interfaz pueda estar personalizado, parece que en el mensaje de error si que sale el nombre del fabricante.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-large wp-image-3450\" src=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_3-1024x735.jpg\" alt=\"\" width=\"520\" height=\"373\" srcset=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_3-1024x735.jpg 1024w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_3-150x108.jpg 150w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_3-300x215.jpg 300w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_3-768x552.jpg 768w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_3.jpg 1086w\" sizes=\"(max-width: 520px) 100vw, 520px\" \/><\/p>\n<p><!--more-->El fabricante tiene noticia del problema desde el pasado mes de marzo, y siete meses despu\u00e9s a\u00fan no ha ofrecido una soluci\u00f3n a la vulnerabilidad de sus equipos, que se basa en 5 importantes problemas de seguridad:<\/p>\n<ul>\n<li><strong>Los IDs usados en el cloud son predecibles<\/strong>. Cada dispositivo usa un ID aparentemente aleatorio para conectarse mediante P2P al cloud del fabricante, como puede ser por ejemplo <code>68ab8124db83c8db<\/code>. Pero estos IDs pueden obtenerse con relativa facilidad por fuerza bruta, ya que se generan al arranque del equipo a partir de un identificador \u00fanico y la direcci\u00f3n MAC del equipo.<br \/>\nUn atacante puede ir probando IDs de forma secuencial, y en aquellos que est\u00e9n conectados intentar conectarse con alguna de las credenciales por defecto.<br \/>\nEste problema se agrava por el hecho de que el cloud de Xiongmay no limita el n\u00famero de intentos que pueden hacerse desde una misma IP. Extrapolando datos, Sec-consult estima que en todo momento puede haber online en el sistema unos 9 millones de equipos conectados.<\/p>\n<pre>Hop server location: CN; extrapolated devices 5,438,757\r\nHop server location: DE; extrapolated devices 1,319,845\r\nHop server location: JP; extrapolated devices 577,743\r\nHop server location: SG; extrapolated devices 697,276\r\nHop server location: TR; extrapolated devices 189,260\r\nHop server location: US; extrapolated devices 742,101<\/pre>\n<\/li>\n<li><strong>Usuario admin con contrase\u00f1a en blanco por defecto<\/strong>. Los dispositivos vienen por defecto sin contrase\u00f1a, y no obliga al usuario a crear una contrase\u00f1a. Cualquier equipo puede estar conectado a internet sin contrase\u00f1a. Este problema tambi\u00e9n se agrava por el hecho de que el acceso P2P viene activado de serie en todos los equipos.<\/li>\n<li><strong>Usuario default con contrase\u00f1a por defecto, de uso desconocido<\/strong>. Existe una cuenta default en los equipos cuya funci\u00f3n no est\u00e1 documentada, que dispone de acceso a la visualizaci\u00f3n en directo de los canales de video. La contrase\u00f1a de este usuario es <strong>tluafed<\/strong> y puede usarse para conectarse mediante XMEye.<\/li>\n<li><strong>Comunicaci\u00f3n por m\u00faltiples canales sin encriptar<\/strong>. Todas las comunicaciones se realizan sin encriptar, tanto el acceso desde XMEye como las comunicaciones con los servidores de actualizaciones. Si es posible analizar el tr\u00e1fico de red entrante y saliente del equipo, es posible obtener de forma sencilla tanto el ID del cloud como el usuario y contrase\u00f1a de acceso.<\/li>\n<li><strong>No se verifica la integridad de las actualizaciones<\/strong>. Los firmwares que se instalan en un dispositivo no van firmados. Es por ello posible actualizar con un firmware malicioso, modificando por ejemplo el fichero InstallDesc, que es un simple fichero de texto con los comandos que se ejecutan durante el proceso de actualizaci\u00f3n.<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-3451\" src=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_4.jpg\" alt=\"\" width=\"574\" height=\"350\" srcset=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_4.jpg 574w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_4-150x91.jpg 150w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2018\/10\/vulnerabilidad-xmeye_4-300x183.jpg 300w\" sizes=\"(max-width: 574px) 100vw, 574px\" \/><br \/>\nEs solo cuesti\u00f3n de tiempo que alguien cree un gusano que se dedique a infectar dispositivos XMEye, como ya ha pasado otras veces como por ejemplo con <strong>Mirai<\/strong>. A d\u00eda de hoy, ning\u00fan dispositivo al que se acceda con la aplicaci\u00f3n XMEye es seguro, y la \u00fanica recomendaci\u00f3n que hace <strong>Sec-consult<\/strong> es dejar de usar cualquier dispositivo del fabricante.<\/p>\n<p>Un posible escenario de ataque:<\/p>\n<ul>\n<li>Un atacante obtiene por fuerza bruta un listado de IDs v\u00e1lidos en el cloud.<\/li>\n<li>El atacante utiliza las credenciales inseguras de \u00abadmin\u00bb y \u00abdefault\u00bb para obtener acceso al dispositivo a trav\u00e9s del cloud.<\/li>\n<li>El atacante modifica los servidores DNS del dispositivo, para mediante un servidor de DNS y de web maliciosos poder crear un servidor de actualizaciones falso (<em>upgrade.secu100.net<\/em>).<\/li>\n<li>El atacante crea un firmware malicioso para actualizar el dispositivo. A trav\u00e9s del cloud lanza el comando de actualizaci\u00f3n del dispositivo, que descargar\u00e1 el firmware infectado y se actualizar\u00e1 el equipo.<\/li>\n<\/ul>\n<p>Llegados a este punto, ya todo depende de la imaginaci\u00f3n del atacante.<\/p>\n<p>Quiz\u00e1s alguien se moleste en crear un programa que se dedique a desconectar de internet todos los dispositivos que sean vulnerables, como ya pas\u00f3 en su momento con los equipos Dahua vulnerables (<a href=\"https:\/\/www.securame.com\/blog\/encontrado-backdoor-los-firmwares-dahua-2a-3a-generacion\/\" target=\"_blank\" rel=\"noopener\">aunque en este caso era necesario que el equipo tuviera el puerto web accesible desde el exterior<\/a>). Quiz\u00e1s alguien piense que estos equipos deber\u00edan ir todos a la basura, y los brickee para convertirlos en bonitos pisa papeles.<\/p>\n<p>Pero alguien puede ver m\u00e1s interesante con estos equipos crear una nueva botnet al estilo Mirai, dedicarlos a minar bitcoins, a mandar spam, o simplemente una vez ya est\u00e1 dentro de la red local puede dedicarse a husmear que otros equipos encuentra accesibles y vulnerables.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sec-consult ha hecho p\u00fablica una vulnerabilidad en el acceso por P2P a los grabadores y c\u00e1maras IP del fabricante Xiongmai, un fabricante chino (OEM) poco conocido por su nombre, pero cuyos equipos se venden bajo muchas otras marcas, entre las que se encuentran KMoon, Floureon, Sannce, Wnk, Zmodo, Canavis o Dagro. Es probable que no [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":3451,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[144,9,145,7,78,162],"class_list":["post-3447","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria","tag-backdoor","tag-cctv","tag-iot","tag-noticias","tag-seguridad","tag-xmeye"],"_links":{"self":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts\/3447","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/comments?post=3447"}],"version-history":[{"count":0,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts\/3447\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/media\/3451"}],"wp:attachment":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/media?parent=3447"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/categories?post=3447"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/tags?post=3447"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}