Квадрокоптеры DBPOWER предоставляют полный доступ к системе через анонимный FTP

Юния Валенте (Junia Valente) обратила внимание на полное отсутствие защиты (CVE-2017-3209) в квадрокоптерах компании DBPOWER, оснащенных HD-камерой и встроенной точкой беспроводного доступа. Устройство создавало открытую WiFi-сеть, подключившись к которой можно не только перехватить снимаемый камерой видеопоток, но и получить полный доступ к SD-карте устройства, в том числе к системным файлам и сохраненным видео- и фото-материалам.

Проблема подтверждена в модели DBPOWER UDI U818A и аналогичных устройствах, выпускаемых под другими брендами, такими как Force1 UDI U818A и Udirc Discovery U818A. Для атаки достаточно подключиться к IP-адресу устройства по FTP, который поддерживает анонимный вход без пароля. Предоставляемый по FTP анонимный доступ осуществляется под пользователем root и позволяет изменять системные файлы. Например, показано, можно при помощи команды "curl -T shadow ftp://192.168.0.1:21/etc/jffs2/shadow" записать на устройства собственный файл /etc/shadow с хэшем пароля, зайти по telnet под пользователем root и захватить управление над летающим поблизости квадрокоптером.