Millionen Xiongmai-Überwachungskameras durch Cloud-Feature unsicher (XMEye P2P Coud)

IoT vulnerability

Über 9 Millionen IoT-Geräte des chinesischem OEM-Herstellers „Xiongmai“ sind unsicher (selbst jene hinter einer Firewall), weil sie ein unsicheres Cloud-Feature namens „XMEye P2P cloud“ standardmäßig aktiv haben.

Xiong-wer?! Warum Sicherheitslücken eines chinesischen Herstellers die ganze Welt betreffen

Hangzhou Xiongmai Technology Co., Ltd ist einer der weltweit größten Hersteller in der Videoüberwachungsbranche (Überwachungskameras, digitale Videorekorder (DVR) und Netzwerk-Videorekorder (NVR)). Als Privatanwender haben Sie den Namen vermutlich noch nie gehört, zumal sich das Unternehmen auf die Herstellung von OEM-Geräten konzentriert und seinen Standort in China hat.

Erst 2016 hat Xiongmai im Zusammenhang mit dem Mirai-Botnet für Aufsehen gesorgt. Damals nutzten Mirai und Varianten von Mirai kritische Schwachstellen in Xiongmai-Geräten aus, die hoch-privilegierten Shell-Zugriff über TCP-Ports 23 (Telnet) und 9527 (eine Telnet-ähnliche Konsolenschnittstelle) mit vorprogrammierten Anmeldeinformationen ermöglichten. Hunderttausende von Xiongmai-Geräten wurden infiziert und als Teil eines der größten DDoS-Angriffe (Distributed Denial of Service) eingesetzt.

Vielleicht erinnern Sie sich an die DDoS-Attacken gegen Dyn, die Ausfälle für Netflix, Twitter, GitHub, Spotify, Airbnb, also im Grunde für einen Großteil des Internets? Oder die Angriffe auf den „Krebs on Security„-Blog, der Akamai veranlasst hat, seinen Anti-DDoS-Schutzdienst für den Blog zu stoppen? Große Teile dieser DDoS-Feuerkraft stammten von gehackten Xiongmai-Geräten des Botnetzwerks.

Was ist seitdem passiert?

Die Menschen hinter Mirai wurden mittlerweile festgenommen und verurteilt und Xiongmai beseitigte in neuen Produkten schließlich die Sicherheitslücken. Motivierte IoT-Botnet-Akteure suchen immer noch nach anfälligen Xiongmai-Geräten, von denen viele in einem „Anti-Botnet-Botnet“ namens Brickerbot schützend „eingemauert“ wurden.

Wieso beschäftigt sich das SEC Consult Vulnerability Lab damit?

Die automatisierte Firmware-Sicherheitsanalyse-Plattform IoT Inspector erkennt zuverlässig genau jene Art von Schwachstellen, die Mirai und andere IoT-Botnets gerne ausnutzen. Die Analyse funktioniert für alle IoT-Geräte, einschließlich derer von Xiongmai. Einer der Beweggründe für die kontinuierliche Forschung im Bereich des Internet of Things ist es, die Ergebnisse in eine Verbesserung der Analysemöglichkeiten von IoT Inspector einfließen zu lassen.

XMEye P2P Cloud

Eine bewährte Richtlinie für IT-Systeme lautet: „Gebt den Geräten keinen Internetzugang“. Im Fall Mirai hat das für alle Geräte gut funktioniert, bis auf Xiongmai. Deren offene TCP-Ports 23 oder 9527 war aber leider nicht die einzige Schwachstelle der Videoüberwachungsprodukte des Herstellers. Ein in der Branche durchaus übliches Feature zur Fernüberwachung (beworben als „P2P“, „Cloud, „remote Überwachung“ oder einfach nur „Zugriff per Android und iOS-App, egal wo Sie gerade sind“) wie man sie auch in anderen Geräten wie z. B. Gwelltimes/FREDIMiSafes findet.

Die Funktion „XMEye P2P Cloud“ ist bei Xiongmai-Geräten standardmäßig aktiviert und nutzt ein proprietäres Protokoll, mit dem Benutzer aus der Ferne auf ihre IP-Kameras oder Netzwerkvideorekorder/DVRs zugreifen können. Alle Verbindungen der XMEye Apps (Android und iOS), der Desktop-Anwendung „VMS“ und auch des SDK für Entwickler nutzen dabei die Cloud-Server-Infrastruktur von Xiongmai selbst.

Aus Benutzersicht ist ein solches Feature natürlich wunderbar, weil es den Zugriff und die Interaktion möglich macht, selbst wenn man sich nicht im gleichen Netzwerk (sondern z. B. einem anderen WLAN) befindet. Auch braucht es keine extra Firewall- oder Portforwarding-Einstellungen oder ein DDNS-Setup am Router, was die Nutzung für weniger technikaffine Benutzer erst möglich macht.

Leider hat diese vermeintliche Benutzerfreundlichkeit einen hohen Preis: die Sicherheit.

  • Alle Daten werden über Cloud-Server übertragen und der Cloud-Provider erhält Zugriff auf diese (z. B. auch die Video-Streams). Dies wirft einige Datenschutz-kritische Fragen auf:
    • Wer betreibt diese Server?
    • Wer hat Zugriff auf die Daten?
    • Wo befinden sich diese Server?
    • Wie wird eine Erfüllung lokaler (d.h. dem Betriebsort entsprechenden) rechtlicher Anforderungen sichergestellt? Ist das Service z. B. auch datenschutzkonform im Sinne der DSGVO?
  • Sofern die Daten nicht ausreichend verschlüsselt übertragen werden (und das werden sie leider nicht, wir haben es geprüft…), kann jeder „Man-in-the-middle“ Angreifer die Verbindung mitlauschen und alle übertragenen Daten abgreifen.
  • Das Feature der „P2P Cloud“ ermöglicht es eine etwaige Firewall zu umgehen und auf einfache Weise eine Verbindung in private Netzwerke herzustellen. Das kann sich das natürlich auch ein Angreifer zu Nutze machen, wenn er Zugriff auf Geräte hat, die beabsichtigt oder unbeabsichtigt im Internet stehen (klassisches “Shodan hacking” oder auch die „Mirai“-Botnet-Vorgehensweise), wie es bei der „P2P Cloud“ für extrem viele Geräte der Fall ist.

Vorhersagbare XMEye Cloud-IDs

Wie funktioniert nun diese „XMeye P2P Cloud“ im Detail? Jedes Gerät hat eine eindeutige ID, Cloud ID oder UID. Zum Beispiel: 68ab8124db83c8db. Mithilfe dieser ID kann der Benutzer über eine der unterstützten Apps eine Verbindung zum Gerät herstellen. Man würde annehmen, dass die Cloud-ID ausreichend zufällig und komplex ist, um korrekte Cloud-IDs schwer zu erraten. Nun, so ist es leider nicht!

Wir haben Teile der Xiongmai-Firmware reverse-engineered und festgestellt, dass die Cloud-ID von der MAC-Adresse des Geräts abgeleitet ist. Die MAC-Adresse ist aufgrund der klaren Struktur keine solide Basis für einen Zufallswert: Sie besteht aus einer 3-Byte-OUI (organisatorisch eindeutige Kennung des Herstellers) + 3-Byte-NIC-ID (Interface-ID). Xiongmai verwendet einige verschiedene OUIs und weist Interface-IDs in aufsteigender Reihenfolge zu. Dieser Umstand macht es Angreifern leicht, potentielle MACs / Cloud-IDs aufzuzählen und gültige IDs zu finden. Zum Beispiel indem Sie einfach die Cloud-ID für MAC  001210FF0000, 001210FF0001, 001210FF0002 etc. ausprobieren.

Cloud ID Scans

Basierend auf den Erkenntnissen des proprietären, reverse-engineerten, P2P-Protokolls entstand ein Scanner, der die Xiongmai-Cloud-Infrastruktur nach gültigen Cloud-IDs durchsucht und zurückliefert, ob das jeweilige Gerät online ist und welche IP-Adresse der geographisch nächstgelegenste „Cloud-Hop“-Server hat. Diese Anfrage bedarf nur eines einzigen UDP-Pakets.

Im März dieses Jahres scannten wir stichprobenartig 0.02% der Geräte in jedem OUI-Bereich (es existieren etwa 16 Millionen Geräte je Bereich). Eine kurze Hochrechnung ergab, dass zu diesem Zeitpunkt mindestens 9 Millionen Geräte in den angegebenen OUI-Bereichen online waren. Dabei werden die Cloud-IDs nicht zufällig über die OUI-Bereiche verteilt: es gibt in jedem OUI-Bereich eine Chance von 15%, eine gültige Cloud-ID zu finden (andere Bereiche haben eine wesentlich geringere Wahrscheinlichkeit).

Basierend auf der Information der „Cloud-Hop“-Server konnten wir die geographische Verteilung der Geräte schätzen:

  • Hop-Server Standort China: 5 438 000 Geräte online
  • Hop-Server Standort Deutschland: 1 319 000 Geräte online
  • Hop-Server Standort USA: 742 000 Geräte online
  • Hop-Server Standort Singapur: 697 000 Geräte online
  • Hop-Server Standort Japan: 577 000 Geräte online
  • Hop-Server Standort Türkei: 189 000 Geräte online

In den meisten Fällen beobachteten wir, dass Hop-Server auf demselben Kontinent verwendet werden. Der Hop-Server für eine IP-Kamera in Europa, z. B. Großbritannien, wird dem Hop-Server in Deutschland zugeordnet.

Die meisten Hop-Server werden auf Amazon Web Services (Deutschland, USA, Singapur, Japan), Radore (Türkei) und Alibaba, Kingsoft oder CloudVSP in China gehostet. Während unserer Scans stießen wir auf mehr als 30 verschiedene Hop-Server-IPs. All dies legt nahe, dass Xiongmai erhebliche Anstrengungen zum Aufbau und Betrieb seiner Cloud-Infrastruktur unternommen hat.

Wir haben bewusst nicht versucht, die Scanaktivität zu verstecken. Obwohl wir mehr als 33.000 Anfragen von einer einzigen IP-Adresse gesendet haben, wurden wir nicht aus der Cloud-Infrastruktur geworfen. Dies ist ein Indiz dafür, dass aktuell kein Brute-Force-Schutz vorhanden ist.

Exkurs: Wie Sie mit MAC-Adressen bares Geld sparen

MAC OUIs werden von der IEEE zugewiesen. Die Registrierung eine OUI-Nummer kostet aktuell 2 820 US$. Interessanterweise besitzt Xiongmai keine einzige OUI, sondern nutzt die OUIs anderer Unternehmen. Die folgenden OUIs werden von Xiongmai-Geräten verwendet (alle OUIs basieren auf unseren Internet-Recherchen und -Scans, die Firmennamen stammen aus dem IEEE-Register):

001210 WideRay Corp

001211 Protechna Herbst GmbH & Co. KG

001212 PLUS Corporation

001213 Metrohm AG

001214 Koenig & Bauer AG

001215 iStor Networks, Inc.

001216 ICP Internet Communication Payment AG

001217 Cisco-Linksys, LLC

001218 ARUZE Corporation

003E0B Not assigned

Standardpasswörter

Wie bereits gezeigt, ist es möglich sich über die XMEye-Cloud mit Millionen von Xiongmai-Geräten zu verbinden. Zum Herstellen einer Verbindung zu einem Gerät sind gültige Anmeldeinformationen erforderlich. Das Standardpasswort des Admin-Benutzers (Benutzername „admin“) ist leer. Benutzer werden im Zuge der Inbetriebnahme leider nicht aufgefordert, ein Kennwort festzulegen. Daher ist es wahrscheinlich, dass eine große Anzahl von Geräten weiterhin über diese Standardanmeldeinformationen erreichbar ist. Der Admin-Benutzer kann Videostreams anzeigen, die Gerätekonfiguration ändern und auch Firmware-Updates durchführen.

Neben dem Administrator gibt es standardmäßig einen nicht dokumentierten Benutzer mit dem Namen „default“. Das Passwort dieses Benutzers ist „tluafed“ (default in umgekehrter Zeichenfolge). Wir haben festgestellt, dass dieser Benutzer dazu verwendet werden kann, sich über die XMEye-Cloud bei einem Gerät anzumelden (getestet über einen benutzerdefinierten Client mit dem Xiongmai NetSDK). Dieser Benutzer scheint ebenfalls Zugriffsberechtigungen auf Videostreams zu haben.

Hinweis: Der Passwort-Hash des „default“-Benutzers ist „OxhlwSG8“ (gespeichert in /mtd/Config/Account1). Der zugrunde liegende Hash-Algorithmus wurde bereits reverse-engineered und ist auf GitHub verfügbar.

Im Prinzip handelt es sich dabei um eine Mischung aus MD5(password) und weiterer Komprimierung. Bei komplexeren Passwörtern ist es oft einfacher, eine sogenannte „Hash Collision“ zu finden, statt das Passwort auf traditionelle Weise zu knacken. Spannenderweise wird derselbe Hash-Algorithmus auch in Produkten von Dahua Technology verwendet. Vielleicht hat sich Xiongmai davon inspirieren lassen oder der Algorithmus ist Teil des Huawei HiSilicon SoC SDK und bei beiden Herstellern in Verwendung?

Unabhängig davon, ob das Gerät durch ein sicheres Administrator-Passwort geschützt wurde, kann über die XMEye-Cloud und den „default“-Benutzer ggf. unauthorisiert darauf zugegriffen werden.

Code Execution über das Firmware Update

Wie bereits gezeigt, ist es möglich sich mit Millionen von Xiongmai-Geräten über die XMEye Cloud zu verbinden und mit vorgegebenen Zugangsdaten einzuloggen. Der nächste logische Schritt aus der Sicht eines Angreifers wäre der Versuch, eigenen Code auf dem Gerät auszuführen.

Da die Firmware-Updates nicht signiert sind, ist es möglich, ein solches auf Dateisystemebene zu verändern und bösartigen Code zu ergänzen. Alternativ könnte man auch die „InstallDesc“-Textdatei im Firmware-Update modifizieren, welche Kommandos beinhaltet, die während des Updates ausgeführt werden.

Die schadhaften Firmware-Updates können sodann über die XMEye-Cloud verbreitet werden. Dafür muss sich ein Angreifer lediglich über einen Eintrag in den DNS-Einstellungen des Geräts als Cloud-Update Server namens „upgrade.secu100.net“ ausgeben (ebenfalls Teil der XMEye API). Da eine auf diese Weise eingespielte Malware im Flash-Speicher des Gerätes abgelegt wird, kann sie selbst durch einen Neustart des Gerätes nicht mehr entfernt werden (im Gegensatz zu Mirai).

 

Was bedeutet das für die Allgemeinheit?

Es ergeben sich drei mögliche Angriffsszenarien:

  • Der Spanner„: Die vorhandenen Schwachstellen ermöglichen es, sich in die Videoüberwachung einzuklinken und die Benutzer zu beobachten. Geräte mit einer bidirektionalen Gegensprechfunktion können von einem Angreifer außerdem dazu missbraucht werden, mit den Opfern direkt zu kommunizieren.
  • Der zielgerichtete Angreifer„: Hardware aus der Xiongmai-Produktpalette sind in vielen „interessanten“ Unternehmen auf der ganzen Welt im Einsatz. Ein Angreifer kann sich über die Schwachstellen zunächst Zugriff auf das lokale Netzwerk verschaffen, und von dort aus andere Systeme (auf lateraler Ebene) hacken.
  • Der Botnet-Sammler„: Dank der vorhandenen Schwachstellen könnten Millionen von Geräten im Stil des Mirai-Botnets infiziert werden und in diesem Fall das womöglich größte Botnetzwerk in der IT-Geschichte bilden.

Wer ist betroffen?

Jeder, der ein Xiongmai-Gerät im Einsatz hat, ist betroffen. Leider ist diese Information alleine nicht ausreichend, denn die meisten Geräte werden unter einen anderen Markennamen geführt. „Xiongmai“ ist weder im Handbuch, oder auf der Verpackung noch im Web- bzw. DVR/NVR-Interface irgendwo ersichtlich. So wie es für OEM-Hersteller eben üblich ist. Unzählige Hersteller verkaufen individuell gebrandete Geräte mit Hardware und Firmware aus dem Hause Xiongmai. Wie viele das genau sind, konnten wir selbst nach intensiven Recherchen nicht exakt feststellen. Es sind jedenfalls mehr als 100:

9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision / sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo, ZRHUNTER

Übersicht der Xiongmai OEM-Anbieter
Überblick an Xiongmai OEM-Herstellern
Standard-Anmeldeseite von Xiongmai
Standard-Login der Xiongmai-Webapplikation.

So identifizieren Sie ein Xiongmai-Gerät

Über das Webinterface

Sie brauchen lediglich einen Netzwerkzugang zum Gerät. Der Zugang sieht vermutlich ähnlich aus wie dieser Screenshot (allerdings kann er bei OEM-Produkten natürlich optisch angepasst werden).

Fehlerseite, die einen Verweis auf Xiongmai enthält
Fehlerseite eines Xiongmai-Gerätes mit namentlicher Nennung des Herstellers.

Über die Fehlerseite

Alternativ können Sie auch die Fehlerseite „err.htm“ ausfindig machen (zu finden unter IP/err.htm), welche eine der wenigen Stellen ist, wo der Name „Xiongmai“ tatsächlich erwähnt wird. Die Fehlerseite sieht so aus:

Screenshot “A-ZONE” Kameras (Source: Amazon)
Screenshot „A-ZONE“ (Quelle: Amazon)

Über die Produktbeschreibung

Wenn Sie keinen direkten Zugriff auf das Gerät haben, können Sie auch einen Blick in das Handbuch oder die Produktbeschreibung des Online-Shops werfen. Mit etwas „Glück“ wird das Feature „XMEye“ als solches namentlich genannt. Viele Marken nutzen das Xiongmai SDK in einer gebrandeten Variante, wie beispielsweise GoodeyeiCSee ProJFeye. Eine schnelle Suche nach „XMEye“ auf Amazon.com allein ergab jedenfalls bereits hunderte Suchergebnisse. Wir haben davon exemplarisch zwei Geräte aus verschiedenen Einsatzbereichen ausgewählt.

Beispiel A-ZONE

A-ZONE ist ein IP-Kamera-System inklusive NVR, das bei Kunden beliebt zu sein scheint, 140 Bewertungen hat und auf Platz 59 in der Kategorie „DVR-Überwachungssets“ zu finden ist.

Screenshot “SUNBA” (Quelle: Amazon)
Screenshot „SUNBA“ (Quelle: Amazon)

Beispiel SUNBA

SUNBA st eine Dome-Kamera für den Außenbereich, 138 Bewertungen und Platz 575 in der Kategorie „Dome-Kameras“.

Auszug der IoT Inspector Ergebnisse für ein Xiongmai Gerät
Auszug der IoT Inspector Ergebnisse für ein Xiongmai Gerät

KOMMUNIKATION MIT DEM HERSTELLER UND ABSCHLIESSENDE BEMERKUNGE

Das SEC Consult Vulnerability Lab hat im März 2018 tatkräftige Unterstützung vom ICS-CERT bekommen, die dem Aufbau einer Kommunikationsbasis mit Xiongmai und dem chinesischen CNCERT/CC zugute kam. Leider wurde keine der aufgezeigten Schwachstellen bisher behoben (nach einer Frist von sieben Monaten). Der Verlauf der Kommunikation mit Xiongmai hat deutlich gemacht, dass IT-Security offensichtlich nicht weit oben auf der Prioritätenliste des Herstellers zu stehen scheint.

Unsere Empfehlung ist daher, jegliche Xiongmai-Produkte und OEM-Varianten davon nicht mehr einzusetzen. Bitte seien Sie sich bewusst, dass es unter Umständen schwierig sein kann, ein Gerät als Xiongmai zu identifizieren (wir haben Ihnen aber einige Optionen im Abschnitt „Bin ich betroffen“ gezeigt). Das Unternehmen hat leider was IT-Security anbelangt, alles andere als eine weiße Weste, nicht nur wegen Botnetzwerken wie Mirai. Schwachstellen, die bereits 2017 veröffentlicht wurden, sind in der aktuellen Firmware-Version von Xiongmai immer noch nicht behoben. Dazu zählen u.a. eine Directory traversal-Schwachstelle und verschiedene Buffer-Overflow- Schwachstellen (CVE-2017-16725CVE-2018-10088Exploit-Beispiel auf Github).

Zwar ist es grundsätzlich gut, Standardpasswörter zu ändern, jedoch in diesem Fall nicht ausreichend, um alle vorhandenen Schwachstellen zu umgehen und den Einsatz der Produkte sicher zu machen.

Spannenderweise findet sich in einem gerade verabschiedeten US-Gesetz „Defense Authorization Act for Fiscal Year 2019″ ein Verbot zum Einsatz unsicheren Equipments („Prohibition On Use Or Procurement“). Aufgrund dessen wurden alle Videoüberwachungskomponenten der Hangzhou Hikvision Digital Technology Company and Dahua Technology (beides Konkurrenten von Xiongmai) aus dem Verkehr gezogen. Fairerweise müsste Xiongmai dieselbe Behandlung erfahren.

Anhang: Liste an XMeye Domains

Wenn Sie unsichere Geräte in Ihrem Netzwerk anhand des XMEye-Features aufspüren möchten, haben wir einige Domains bzw. IP-Adressen zusammengetragen, die von dieser P2P-Cloud genutzt werden:
mac.secu100.net
pub-cfg.secu100.net
upgrade.secu100.net
xmeye.com
xmsecu.com
112.124.0.188
112.124.3.115
114.215.197.205
120.131.9.243
120.132.78.111
120.92.226.110
123.57.7.3
123.59.14.6
123.59.25.129
52.29.139.70
54.178.154.181
54.207.126.203
54.254.159.106
54.67.91.181
54.72.86.70
54.84.132.236
120.92.19.19
54.176.110.240
52.28.165.62
54.219.55.26
13.250.136.158
52.68.51.87
52.29.246.211
18.196.29.221
18.195.157.230
13.250.71.188
54.177.43.158
13.250.147.123
184.72.16.53
77.75.39.202
185.39.174.132

Dieser Research stammt von Stefan Viehböck (@sviehb) für das SEC Consult Vulnerability Lab. Die technische Beschreibung der Schwachstellen haben wir auch als Advisory (englisch) veröffentlicht

Vendor Communication & Final Thoughts

We have worked together with ICS-CERT to address this issue since March 2018. ICS-CERT made great efforts to get in touch with Xiongmai and the Chinese CNCERT/CC and inform them about the issues. Although Xiongmai had seven months’ notice, they have not fixed any of the issues.

The conversation with them over the past months has shown that security is just not a priority to them at all.

Our recommendation is to stop using Xiongmai and Xiongmai OEM devices altogether. Please note, identifying a Xiongmai devices is difficult (see “Am I affected?” section above). The company has a bad security track record including its role in Mirai and various other IoT botnets. There are vulnerabilities that have been published in 2017, which are still not fixed in the most recent firmware version. This includes a directory traversal vulnerability and various buffer overflow vulnerabilities (CVE-2017-16725CVE-2018-10088complete exploit chain available).

The usual recommendations, like changing default passwords, strict firewalling and network segmentation, unfortunately do not mitigate the whole range of discovered issues.

What’s interesting, the recently passed “Defense Authorization Act for Fiscal Year 2019” has a section on “Prohibition On Use Or Procurement”, which bans all kinds of video surveillance equipment from Xiongmai’s competitors Hangzhou Hikvision Digital Technology Company and Dahua Technology. We think Xiongmai should receive the same treatment.

Addendum: “Indicators Of Compromise”

Want to hunt for devices using the XMeye P2P Cloud in your infrastructure? Here are some domains/IPs used by the platform:

mac.secu100.net
pub-cfg.secu100.net
upgrade.secu100.net
xmeye.com
xmsecu.com
112.124.0.188
112.124.3.115
114.215.197.205
120.131.9.243
120.132.78.111
120.92.226.110
123.57.7.3
123.59.14.6
123.59.25.129
52.29.139.70
54.178.154.181
54.207.126.203
54.254.159.106
54.67.91.181
54.72.86.70
54.84.132.236
120.92.19.19
54.176.110.240
52.28.165.62
54.219.55.26
13.250.136.158
52.68.51.87
52.29.246.211
18.196.29.221
18.195.157.230
13.250.71.188
54.177.43.158
13.250.147.123
184.72.16.53
77.75.39.202
185.39.174.132

 

 

This research was done by Stefan Viehböck (@sviehb) on behalf of SEC Consult Vulnerability Lab and was also publishd as a security advisory.