Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

Wprowadzenie do bezpieczeństwa IT od sekuraka!

Wprowadzenie do bezpieczeństwa IT

Czy można z kamer Lenovo zrobić BadUSB? No prawie…

12 sierpnia 2025, 10:11 | W biegu | 0 komentarzy
Tagi: , , , ,

Badacze z firmy Eclypsium zaprezentowali na DEF CON 33 nowy wektor ataku. Polega on na wykorzystaniu podłączonych urządzeń – w tym przypadku kamer USB – do zdalnych ataków poprzez zmianę firmware i przekształcenie ich w urządzenia realizujące atak BadUSB. Bez odłączania ich od komputera czy dostarczania sprzętu (Rysunek 1).

TLDR:

  • badacze z firmy Eclypsium zaprezentowali na DEF CON nowy rodzaj ataku
  • podłączone kamery Lenovo zostały przekształcone w urządzenia BadUSB
  • Lenovo poprawiło błędy, ale podatnych będzie zapewne więcej modeli kamer
  • głównym ryzykiem jest zapewnienie atakującym trudno wykrywalnej persystencji

Dla przypomnienia, BadUSB to atak, który polega na takiej modyfikacji firmware, by urządzenie udawało ono sprzęt typu HID (Human Interface Device), na przykład klawiaturę. Po podłączeniu do komputera automatycznie wpisuje ono polecenia, mające na celu wykonanie z góry zaplanowanych czynności. Może to być zainfekowanie komputera poprzez instalację złośliwego oprogramowania, na przykład typu backdoor umożliwiającego zdalny, nieautoryzowany dostęp. Może to także być dodanie użytkownika lub zmiana jego hasła lub po prostu eksfiltracja danych, poprzez wydanie poleceń skutkujących wysyłką określonego pliku na zdalny serwer.

Rysunek 1. Schemat ataku BadCam. Źródło Eclypsium.

Opisywana podatność, oznaczona symbolem CVE-2025-4371, dotyczy dwóch modeli kamer firmy Lenovo: Lenovo 510 FHD and Lenovo Performance FHD. Atak był możliwy, ponieważ urządzenia, działające pod kontrolą systemu Linux, niedostatecznie weryfikowały integralność dostarczanego firmware, co pozwalało na jego modyfikację i “dołożenie” dodatkowej funkcjonalności. Schemat ataku przedstawiony został na Rysunku 1.

Demo ataku możecie obejrzeć na YouTube:

Producent wydał już poprawione wersje oprogramowania, eliminujące błąd, ale badacze zaznaczają, że – ze względu na podobieństwo stosowanych rozwiązań – prawdopodobnie podatnych będzie więcej urządzeń.

Atak jest niebezpieczny, gdyż po infekcji złośliwy kod jest przechowywany poza komputerem, co utrudnia jego wykrycie, a urządzenia typu HID są traktowane jako zaufane. Technika nie umożliwia więc bezpośredniej, pierwotnej infekcji, ala może pomóc napastnikom w utrzymaniu dostępu do zainfekowanych sieci i komputerów.

Osoby zainteresowane szczegółami tradycyjnie odsyłamy do źródła, czyli artykułu na blogu Eclypsium.

~Paweł Różański

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz