Des caméras de sécurité très ouvertes

On le sait, la sécurité des webcams laisse souvent à désirer avec un accès à la vidéo ouvert ou des mots de passe par défaut.

Mais les caméras découvertes par PenTestPartners poussent le bouchon un peu loin : en plus des identifiants par défaut l’accès est facilement bypassable et il existe un webshell accessible à tous qui vous donne direct un accès root.

Visiblement ce n’est pas la seule backdoor puisque des photos prises par la caméra sont envoyées à une adresse email…
Ces caméras sont facilement reconnaissable grâce à leur entête HTTP JAWS/1.0.

Pour le fun un petit exploit home-made permet de bypasser l’authentification et donner des commandes au webshell.