Dahua Security Camera Backdoor Checker und die Geschichte dahinter

Am 6. März 2017 fanden unsere Spezialisten während einer regelmäßigen Überwachung auf seclists eine Nachricht von einem unabhängigen Forscher, der Probleme mit Dahua-Produkten meldete. Der Benutzer unter dem Namen mcw0 war davon überzeugt, dass diese Schwachstelle, nämlich die nicht authentifizierte Benutzerverwaltung, vom Hersteller absichtlich hinterlassen wurde. Aufgrund persönlicher Überzeugungen entschied sich der Forscher, zuerst die Community über den Fehler zu informieren und alle Details und Exploits öffentlich zu machen Zugang.

Er selbst sagt, dass er nicht gerne auf die Bitten der Hersteller hört, über die gefundenen Fehler zu schweigen. Trotzdem entfernte mcw0 den Proof of Concept und gab dem Hersteller 30 Tage Zeit, um die Schwachstelle zu beheben. Erschwerend kommt hinzu, dass die von Dahua entwickelte Software von anderen Unternehmen verwendet wird, die wiederum möglicherweise nicht über ausreichende Ressourcen verfügen ihre Produkte aktualisieren.

Eine sorgfältige Prüfung des Github-Repositorys, in dem der Proof of Concept veröffentlicht wurde, zeigte, dass der Exploit-Code nicht vollständig entfernt wurde und problemlos wiederhergestellt werden kann, ohne einen Monat zu warten und ohne den Forscher zu kontaktieren. Um eine Datei vollständig aus dem Verlauf zu löschen, müssen Sie die entsprechende git-Funktionalität (git rm und git rebase) verwenden. Ein paar Tage später entfernte der Forscher, der das Versehen offensichtlich bemerkte, das Repository vollständig und erstellte ein neues, ohne Spuren von Exploits.

Der Exploit ging zur gründlichen Untersuchung ins IoTsploit-Labor. Alle Arbeitsschritte wurden manuell reproduziert, um die Bruchmechanik zu verstehen. Der Hauptfehler bestand darin, dass die Gerätekonfigurationsdatei jedem nicht autorisierten Benutzer zum Download zur Verfügung steht.

Dies ist ein sehr häufiger Fehler bei Entwicklern von IoT-Geräten. Eine ähnliche Schwachstelle wurde zu ihrer Zeit von Entwicklern von D-Link, Humax (CVE-20177315), Broadcom (CVE-20133690) und anderen Unternehmen gemacht. In der heruntergeladenen Datei finden Sie die gesamte Liste der Gerätebenutzer und Hashes von Passwörtern.

Sollte die Datenbank auslaufen, sollten gehashte Passwörter für ihren beabsichtigten Zweck einem Angreifer den Zugriff auf das System erschweren. In unserem Fall reicht der Hash jedoch aus, da eine andere Schwachstelle wie Pass-the-Hash vorhanden ist. Tatsache ist, dass der Desktop-Client für die Webkamera auf dem Server nicht mit einem Passwort autorisiert wird, sondern mit einem Hash des Passworts.

Somit ermöglicht Ihnen der Exploit, in das System einzusteigen und die Kameraverwaltung unter dem Deckmantel eines Desktop-Clients durchzuführen. Der gesamte Exploit-Code wurde vollständig neu geschrieben und in unser Authoring-Framework, den IoTsploit-Scanner, eingebettet, der per Abonnement erhältlich ist. Darüber hinaus haben wir ein öffentliches Tool entwickelt, um jede IP im Internet auf Anfälligkeit für Schwachstellen zu überprüfen.

Dieses Tool enthält keine Nutzlast und kann daher das zu testende Gerät nicht beschädigen. Dasselbe Tool haben wir gesendet, um 23.000 Dahua-Geräte zu überprüfen, die in der Suchmaschine Shodan gefunden wurden. Außerdem gibt es eine aktualisierte Grafik der Anzahl anfälliger Geräte im öffentlichen Zugriff.

Der Checker ist hier co/dahua/Diese Forschung und der Checker wurden vom IoTSploit-Team (Gleb Ershov) erstellt. Kontaktieren Sie uns unter und besuchen Sie unsere Website unter co/.