Przy uwierzytelnianiu dostępu do kamer stosowane są domyślne poświadczenia. Po zakończeniu konfiguracji sprzętu użytkownicy nie są zachęcani do zmiany hasła. W rezultacie każdy może, za pośrednictwem chmury XMEye, połączyć się z milionami urządzeń Xiongmai i oglądać strumienie wideo, zmieniać konfigurację sprzętu, posłużyć się kamerą w ataku DDoS, a nawet dokonać złośliwej aktualizacji oprogramowania układowego.

Analitycy przewidują, że ujawnione usterki wykorzystane zostaną do takich ataków, jak:

• «The Voyeur»: Korzystając z luk, osoba atakująca może szpiegować użytkowników sprzętu Xiongmai. Ponieważ niektóre z ofiar mogą dysponować dwukierunkową łącznością audio (interkom), więc możliwa jest nawet interakcja z nimi.
• «APT Lateral Mover»: Urządzenia Xiongmai wykorzystywane są w wielu organizacjach/sieciach na całym świecie. Niektóre z nich mogą stanowić obiekt zainteresowania dla przestępców. Osoba atakująca jest w stanie wykorzystać luki w zabezpieczeniach i uzyskując punkt zaczepienia w sieci lokalnej, posłużyć się technikami ruchu bocznego (ang. Lateral Movement Techniques), osiągając w ten dostęp do innych systemów.
• «The Botnet Herder»: Wykorzystując luki w zabezpieczeniach, złośliwym oprogramowaniem (podobnym do Mirai) zainfekować można miliony urządzeń. Powstały botnet byłby prawdopodobnie największym botnetem IoT w historii. [W botnecie Mirai zaangażowanych było setki tysięcy urządzeń Xiongmai, co pozwoliło przeprowadzić niszczący atak na gigantycznego dostawcę usług DNS (Dyn), w wyniku którego na kilka godzin wyłączone zostało niemal pół Internetu].

Markowe urządzenia z elektroniką i oprogramowaniem układowym firmy Xiongmai sprzedawane jest przez ponad 100 dostawców. Szacuje się, że obecnie używa się około 9 milionów takich urządzeń.

SEC Consult zaleca całkowite zaprzestanie używania urządzeń Xiongmai i Xiongmai OEM. Zwraca też uwagę na trudności związane z identyfikacją urządzeń Xiongmai.

Źródło: Bitdefender