Jest to konsekwencją ustaleń analityków, którzy znaleźli w sprzęcie wiele usterek umożliwiających osobom niepowołanym szpiegowanie użytkowników (w tym podgląd video czy też wykorzystywanie wbudowanego mikrofonu do podsłuchiwania rozmów). Obarczone wadą urządzenia mogą być również pomocne podczas ataku DDoS (Distributed Denial of Service).

Przy uwierzytelnianiu dostępu do kamer stosowane są domyślne poświadczenia. Po zakończeniu konfiguracji sprzętu użytkownicy nie są zachęcani do zmiany hasła. W rezultacie każdy może, za pośrednictwem chmury XMEye, połączyć się z milionami urządzeń Xiongmai i oglądać strumienie video, zmieniać konfigurację sprzętu, posłużyć się kamerą w ataku DDoS, a nawet dokonać złośliwej aktualizacji oprogramowania układowego.

Analitycy przewidują, że ujawnione usterki wykorzystane zostaną do takich ataków, jak:

• «The Voyeur»: Korzystając z luk, osoba atakująca może szpiegować użytkowników sprzętu Xiongmai. Ponieważ niektóre z ofiar mogą dysponować dwukierunkową łącznością audio (interkom), więc możliwa jest nawet interakcja z nimi.

• «APT Lateral Mover»: Urządzenia Xiongmai wykorzystywane są w wielu organizacjach/sieciach na całym świecie. Niektóre z nich mogą stanowić obiekt zainteresowania dla przestępców. Osoba atakująca jest w stanie wykorzystać luki w zabezpieczeniach i uzyskując punkt zaczepienia w sieci lokalnej, posłużyć się technikami ruchu bocznego (ang. Lateral Movement Techniques), osiągając w ten dostęp do innych systemów.

• «The Botnet Herder»: Wykorzystując luki w zabezpieczeniach, złośliwym oprogramowaniem (podobnym do Mirai) zainfekować można miliony urządzeń. Powstały botnet byłby prawdopodobnie największym botnetem IoT w historii. [W botnecie Mirai zaangażowanych było setki tysięcy urządzeń Xiongmai, co pozwoliło przeprowadzić niszczący atak na gigantycznego dostawcę usług DNS (Dyn), w wyniku którego na kilka godzin wyłączone zostało niemal pół Internetu].

Zaleca się, by korzystając z narzędzia IoT Inspector przeskanować sieć i skonfrontować wykrytych tak producentów urządzeń (OEM) z czarną listą. Urządzenia pochodzące od wykazanych na czarnej liście producentów powinny być natychmiast wykluczone z użycia - komentuje Błażej Pilecki, Bitdefender Product Manager z firmy Marken.

Ostrzeżenie wydane przez SEC Consult jest bardzo pilne. Markowe urządzenia z elektroniką i oprogramowaniem układowym firmy Xiongmai sprzedawane jest przez ponad 100 dostawców. Szacuje się, że obecnie używa się około 9 milionów takich urządzeń. Pełna lista sprzedawców dostępna jest w poradniku SEC Consult.

Zalecamy całkowite zaprzestanie używania urządzeń Xiongmai i Xiongmai OEM. Proszę też zwrócić uwagę na trudności związane z identyfikacją urządzeń Xiongmai. Jeżeli chodzi o poziom zabezpieczeń oferowanego sprzętu, to firma ma tutaj niechlubną historię, w czym swoją rolę odegrał Mirai i inne botnety IoT. Wykryte i opublikowane w 2017 r. luki w zabezpieczeniach pozostają niezałatane nawet w najnowszych wersjach oprogramowania układowego – ogłosił SEC Consult.