Массовая проблема с китайскими IP камерами с портом 34567

[Sonya]

А где я написал о том, что у меня стандартные пароли и порты?

В таком случае, ваша атака не имеет отношения к массовой. Просто ваш IP сканит какой-то сетевой червь, или идёт направленная атака на ваши объекты.
У меня около 40 подконтрольных объектов, везде открыт порт 34567 (естественно, под нестандартным номером), облако отключено. Никаких переборов паролей в логах нет.
PS: Вы случаем 80 порт наружу не выставляете? Он совершенно не нужен для работы с устройством, но представляет из себя большую дыру в безопасности.

[reklamist]

А где я написал о том, что у меня стандартные пароли и порты?

В таком случае, ваша атака не имеет отношения к массовой. Просто ваш IP сканит какой-то сетевой червь, или идёт направленная атака на ваши объекты.
У меня около 40 подконтрольных объектов, везде открыт порт 34567 (естественно, под нестандартным номером), облако отключено. Никаких переборов паролей в логах нет.
PS: Вы случаем 80 порт наружу не выставляете? Он совершенно не нужен для работы с устройством, но представляет из себя большую дыру в безопасности.

80 порт не вывожу, а если и делаю это, то в другом диапазоне. Использую медиапорт, который практически всегда в другом диапазоне задаю. До прошивки на днях проблем не было замечено на регистраторах. Я их прошил и чуть позже добавил в программу на смартфон. Сразу после добавления прошли подборы паролей. Похоже китайский пользовательский софт имеет встроенные уязвимости, либо самими китайцами заложено в программы для просмотра.

[AlexLider]

Похоже китайский пользовательский софт имеет встроенные уязвимости, либо самими китайцами заложено в программы для просмотра.

Скорее и первое, и второе. Пробуй откатиться на предыдущую версию прошивки. Прошивки на камерах и регистраторах следует менять только в крайнем случае, если наблюдаются проблемы именно на уровне встроенного ПО. Правило "Работает - не трогай!" актуально.

[reklamist]

Похоже китайский пользовательский софт имеет встроенные уязвимости, либо самими китайцами заложено в программы для просмотра.

Скорее и первое, и второе. Пробуй откатиться на предыдущую версию прошивки. Прошивки на камерах и регистраторах следует менять только в крайнем случае, если наблюдаются проблемы именно на уровне встроенного ПО. Правило "Работает - не трогай!" актуально.

В данном случае интересное другое - в программе xmeye можно добавлять устройства в облачный профиль. Тем самым не приходится заново добавлять устройства при смене смартфона или переустановке приложения. И проблемы наблюдались только на тех устройствах, которые я только что добавил. Ранее добавленные в этот облачный профиль не подвергались подбору паролей, хотя прошивки менял на многих и на них.

[AlexLider]

В данном случае интересное другое - в программе xmeye можно добавлять устройства в облачный профиль. Тем самым не приходится заново добавлять устройства при смене смартфона или переустановке приложения. И проблемы наблюдались только на тех устройствах, которые я только что добавил. Ранее добавленные в этот облачный профиль не подвергались подбору паролей, хотя прошивки менял на многих и на них.

Молодец. Значит, ты обнаружил еще несколько актуальных проблем.
Да, были выпущены новые прошивки по многим регистраторам, но устранены ли были уязвимости в Интернет-сервисах - никто не знает.

[AlexLider]

Проблема с перебором паролей сохраняется и актуальна http://bdu.fstec.ru/vul/2018-00198
Из 400 контролируемых регистраторов 56 вновь подверглись единичным атакам.
Рекомендации по безопасности остаются в силе viewtopic.php?p=105492#p105492, особенно - по смене дефолтных и отключению неиспользуемых портов и установки паролей на все учетные записи.

На тестовом регистраторе с внешником и открытым портом 34567 долбежка достигла своего апогея с почти ежечасными попытками получения несанкционированного доступа. Регистратор несколько раз зависал и перезагружался

[tragic_audio]

serial ID устройств на базе XM без проблем генерируются исходя из mac-адреса, чем и пользуются хакерские алгоритмы. Наличие незапароленной админской учетки а так же учетки пользователя default дает большой простор для атаки. XM ничего с этим не делает.

[kROOT]

А как default то может повлиять, если ему не даны права кроме просмотра? Да, есть на старых прошивках уязвимость подключения к GUI, но кроме движения мышкой и временной блокировкой локального админа оно ничего не дает. При наличии пароля админа конечно.

[tragic_audio]

А как default то может повлиять, если ему не даны права кроме просмотра? Да, есть на старых прошивках уязвимость подключения к GUI, но кроме движения мышкой и временной блокировкой локального админа оно ничего не дает. При наличии пароля админа конечно.

палить чужое видео, приватность все дела... там еще тема такая, писали, что XM использует для своих устройств пул mac-адресов зарезервированных для сторонних компаний таких как cisco

[kROOT]

палить чужое видео, приватность все дела... там еще тема такая, писали, что XM использует для своих устройств пул mac-адресов зарезервированных для сторонних компаний таких как cisco

Получение управления над GUI это еще не значит, что они видят экран. На счет МАСов, скорее всего ошибка идентификации, МАСи не такой дефицит, чтобы их воровать, большая проблема, это когда появляются клоны непонятно каким образом.

[Tюрин BB]

Опыт приходит со временем. Проблема наблюдается всего на 6 регистраторах из более чем 400 контролируемых.

Из 400 контролируемых регистраторов 56 вновь подверглись единичным атакам.

Да уж, вот ведь во истину "...Опыт, сын ошибок трудных, И гений, парадоксов друг...." из серии:
- Ежики плакали и давились, но упорно продолжали трахать кактус.

[AlexLider]

Да уж, вот ведь во истину "...Опыт, сын ошибок трудных, И гений, парадоксов друг...." из серии:
- Ежики плакали и давились, но упорно продолжали трахать кактус.

Тюрин, ты не сделал ровным счетом ничего для решения проблем безопасности оборудования на платформе XM. Так что лучше помалкивай