Dahua Security Camera Backdoor Checker y la historia detrás de él

El 6 de marzo de 2017, durante un monitoreo regular, nuestros especialistas encontraron en las listas de seguridad un mensaje de un investigador independiente que informó problemas en los productos Dahua. El usuario con el nombre mcw0 estaba convencido de que el fabricante dejó esta vulnerabilidad, es decir, la administración de usuarios no autenticados, a propósito. Basado en creencias personales, el investigador decidió notificar primero a la comunidad sobre el defecto y poner todos los detalles y vulnerabilidades en público. acceso.

Él mismo dice que no le gusta escuchar las solicitudes de los proveedores para guardar silencio sobre los errores encontrados. Sin embargo, a pesar de esto, mcw0 eliminó la prueba de concepto y le dio al fabricante 30 días para corregir la vulnerabilidad. La situación se ve agravada por el hecho de que el software desarrollado por Dahua es utilizado por otras empresas, que a su vez pueden no tener suficientes recursos para actualizar sus productos.

Una cuidadosa consideración del repositorio de github donde se publicó la prueba de concepto mostró que el código de explotación no se eliminó por completo y se puede restaurar fácilmente sin esperar un mes y sin contactar al investigador. Para eliminar por completo un archivo del historial, debe usar la funcionalidad de git (git rm y git rebase) correspondiente. Unos días más tarde, el investigador, aparentemente notando el descuido, eliminó por completo el repositorio y creó uno nuevo, sin ningún rastro de explotación.

El exploit fue al laboratorio de IoTsploit para un examen exhaustivo. Todas las etapas de operación se reprodujeron manualmente para comprender la mecánica de rotura. El error principal fue que el archivo de configuración de los dispositivos está disponible para descargar a cualquier usuario no autorizado.

Este es un error muy común entre los desarrolladores de dispositivos IoT. Una vulnerabilidad similar fue realizada en su momento por desarrolladores de D-Link, Humax (CVE-20177315), Broadcom (CVE-20133690) y otras compañías. En el archivo descargado puede encontrar la lista completa de usuarios de dispositivos y hashes de contraseñas.

En caso de que la base de datos se filtre, las contraseñas codificadas para el propósito previsto deberían dificultar que un atacante obtenga acceso al sistema. Pero en nuestro caso, el hash es suficiente debido a la presencia de otra vulnerabilidad como pass-the-hash. El hecho es que el cliente de escritorio para la cámara web está autorizado en el servidor sin usar una contraseña, sino usando un hash de la contraseña.

Por lo tanto, el exploit le permite ingresar al sistema y realizar la administración de la cámara bajo la apariencia de un cliente de escritorio. Todo el código del exploit se reescribió por completo e incrustó en nuestro marco de creación, el escáner IoTsploit, disponible por suscripción. Además, hemos desarrollado una herramienta pública para verificar cualquier ip en Internet en busca de vulnerabilidades.

Esta herramienta no contiene una carga útil y, por lo tanto, no puede dañar el dispositivo que se está probando. La misma herramienta que enviamos para verificar 23 mil dispositivos Dahua encontrados en el motor de búsqueda shodan. Además, hay un gráfico actualizado de la cantidad de dispositivos vulnerables en el acceso público.

El verificador está aquí co/dahua/ Esta investigación y el verificador fueron realizados por el equipo de IoTSploit (Gleb Ershov). No dude en contactarnos en y visitar nuestro sitio web en co/.