Het Oostenrijkse beveiligingsbedrijf SEC Consult heeft een backdoor in de vorm van voorgeprogrammeerde accounts gevonden in tachtig ip-cameramodellen van Sony. Het Japanse bedrijf heeft inmiddels een patch uitgebracht, die handmatig toegepast moet worden.
Volgens het beveiligingsbedrijf is de backdoor aanwezig in de Ipela Engine-camera's van Sony, die gebruikt worden door bedrijven en overheden. De backdoor maakte het voor een aanvaller mogelijk om willekeurige code op de systemen uit te voeren en daarmee verder het netwerk waar de camera op is aangesloten binnen te dringen. Daarnaast zorgt het lek ervoor dat hij de camera kan uitschakelen, gemanipuleerde video's en afbeeldingen kan sturen en de camera's aan een botnet zoals Mirai kan toevoegen, aldus het bedrijf in zijn advisory.
De backdoor bestaat uit twee accounts, met gebruikers 'debug' en 'primana'. Door een http-verzoek naar een camera te sturen en het primana-account voor authenticatie te gebruiken, is het bijvoorbeeld mogelijk om telnet op het apparaat op te starten. Daarna zou een aanvaller met gekraakte root-inloggegevens, die op het apparaat aanwezig zijn, beheerderstoegang kunnen verkrijgen. De onderzoekers schrijven dat het naast telnet mogelijk is om in te loggen via ssh. In hun bericht melden zij dat Sony de accounts met opzet heeft aangemaakt voor debugging-doeleinden en dat deze niet afkomstig zijn van een derde partij.
Onderzoeksjournalist Brian Krebs bevestigt wat de onderzoekers zelf ook al schrijven. Volgens hem zijn de camera's een uitstekend doelwit voor een botnet als Mirai, dat voor een groot deel bestaat uit iot-apparaten, zoals ip-camera's en digitale videorecorders. Dat deze mogelijkheid aanwezig is, blijkt uit de bevindingen van de onderzoekers dat de backdoor minstens vier jaar in de camera's aanwezig was. Een internetscan van Krebs wijst erop dat er ongeveer 4250 kwetsbare Sony-camera's te vinden zijn. Volgens de onderzoekers van SEC Consult is dit mogelijk alleen 'het topje van de ijsberg', omdat zij tot nu toe alleen over een enkele zoekopdracht beschikken.
Volgens de tijdlijn van SEC Consult heeft Sony eind november een patch voor de kwetsbaarheid uitgebracht. Deze moeten gebruikers handmatig installeren aan de hand van de SNC Toolbox, die op de site van Sony is te vinden.