Dahua Security Camera Backdoor Checker et l'histoire derrière

Le 6 mars 2017, lors d'une surveillance régulière, nos spécialistes ont trouvé sur seclists un message d'un chercheur indépendant qui signalait des problèmes dans les produits Dahua. L'utilisateur sous le nom de mcw0 était convaincu que cette vulnérabilité, à savoir la gestion des utilisateurs non authentifiés, avait été laissée exprès par le fabricant. Sur la base de convictions personnelles, le chercheur a décidé d'informer d'abord la communauté du défaut et de mettre tous les détails et exploits en public. accéder.

Il dit lui-même qu'il n'aime pas écouter les demandes des vendeurs de garder le silence sur les bugs trouvés. Cependant, malgré cela, mcw0 a supprimé la preuve de concept et a donné au fabricant 30 jours pour corriger la vulnérabilité. La situation est aggravée par le fait que le logiciel développé par Dahua est utilisé par d'autres sociétés, qui à leur tour peuvent ne pas disposer de suffisamment de ressources pour mettre à jour leurs produits.

Un examen attentif du référentiel github où la preuve de concept a été publiée a montré que le code d'exploit n'était pas complètement supprimé et peut être facilement restauré sans attendre un mois et sans contacter le chercheur. Pour supprimer complètement un fichier de l'historique, vous devez utiliser la fonctionnalité git correspondante (git rm et git rebase). Quelques jours plus tard, le chercheur, remarquant apparemment l'oubli, a complètement supprimé le référentiel et en a créé un nouveau, sans aucune trace d'exploit.

L'exploit est allé au laboratoire IoTsploit pour un examen approfondi. Toutes les étapes de fonctionnement ont été reproduites manuellement pour comprendre la mécanique de la rupture. Le bogue principal était que le fichier de configuration des appareils est disponible en téléchargement pour tout utilisateur non autorisé.

Il s'agit d'une erreur très courante chez les développeurs d'appareils IoT. Une vulnérabilité similaire a été créée à leur époque par les développeurs de D-Link, Humax (CVE-20177315), Broadcom (CVE-20133690) et d'autres sociétés. Dans le fichier téléchargé, vous pouvez trouver la liste complète des utilisateurs d'appareils et des hachages de mots de passe.

En cas de fuite de la base de données, les mots de passe hachés pour leur usage prévu devraient rendre difficile l'accès au système pour un attaquant. Mais dans notre cas, le hachage est suffisant en raison de la présence d'une autre vulnérabilité telle que pass-the-hash. Le fait est que le client de bureau pour la caméra Web est autorisé sur le serveur non pas en utilisant un mot de passe, mais en utilisant un hachage du mot de passe.

Ainsi, l'exploit vous permet d'entrer dans le système et d'effectuer la gestion de la caméra sous le couvert d'un client de bureau. Tout le code d'exploit a été entièrement réécrit et intégré dans notre cadre de création, le scanner IoTsploit, disponible par abonnement. De plus, nous avons développé un outil public pour vérifier n'importe quelle adresse IP sur Internet pour la sensibilité aux vulnérabilités.

Cet outil ne contient pas de charge utile et ne peut donc pas endommager l'appareil testé. Le même outil que nous avons envoyé pour vérifier 23 000 appareils Dahua trouvés dans le moteur de recherche shodan. En outre, il existe un graphique mis à jour du nombre d'appareils vulnérables dans l'accès public.

Le vérificateur est ici co/dahua/Cette recherche et le vérificateur a été réalisé par l'équipe IoTSploit (Gleb Ershov). N'hésitez pas à nous contacter et à visiter notre site Web à co/.