В течение нескольких дней были поражены более миллиона устройств, произведённых компанией Xiong Mai tech.

Предыстория

С 10 июля 2017года (понедельник) начали поступать жалобы на странное поведение видеорегистраторов, которое проявлялось в отваливании IP камер, сообщениями об ошибке авторизации и сопровождающих это звуках зуммера. В субботу проблема стала массовой, стали недоступны устройства с обновлённой версией микропрограммы. Позднее стали известны случаи зависания регистраторов, камер и сброса сетевых настроек.

К настоящему времени атака практически сошла не нет, владельцы облачного сервиса блокировали IP с большой активностью и установили ограничение на количество соединений с одного IP.

Что произошло?

Сама компания умалчивает о случившемся, лишь на технических форумах участники сообщают подробности:

1. Атака шла через облачный сервис XMeye, были поражены почти все устройства с микропрограммами 2016-2017 года. Устройства с версией 2014-2015 года использовали старое облако, и поражены не были. Зато устройства с новой версией оказались подконтрольны хакерам, даже в случае установки сложного пароля и отсутствия прямого доступа из интернет. В поражённом устройстве был загружен исполняемый код, который находился в оперативной памяти и мог принимать удалённые команды. В саму flash память код записан не был, и после запланированной перезагрузки устройств (по умолчанию во вторник в 1:00), был бесследно удалён.
2. В устройствах с микропрограммой 2016-2017 года по умолчанию было включено автоматическое обновление, это было использовано производителем с целью принудительно обновить устройства, но это лишь привело к их зависаниям или сбросу настроек.
3. Камеры могут управляться с регистратора, поэтому даже в случае свежей микропрограммы, отключенного облачного сервиса и автоматического обновления, всё равно остаются уязвимы.

Что делать?

Чтобы избежать повтора:

1. Нужно обновить микропрограммы всех устройств (как IP камер, так и сетевых регистраторов) на последние неофициальные версии (от 2017-06-22/2017-06-28). Архивы микропрограмм выложены для IP камер и для видеорегистраторов. Смотрите по ссылкам со значками яндекс-диска, там все версии, в том числе те, которые ещё не выложил производитель.

2. Отключить облачный сервис (NAT) и автоматическое обновление.

3. Так как атака идёт не только через облако, но и по стандартным портам, необходимо закрыть порт 80, а внешний порт 34567 сменить на другой, например 4001. Также обязательно сменить пароль или установить его, если стоял пароль по умолчанию.