Dahua Security Camera Backdoor Checker e la storia dietro di esso

Il 6 marzo 2017, durante un monitoraggio regolare, i nostri specialisti hanno trovato su seclists un messaggio di un ricercatore indipendente che ha segnalato problemi nei prodotti Dahua. L'utente con il nome mcw0 era convinto che questa vulnerabilità, ovvero la gestione degli utenti non autenticati, fosse stata lasciata apposta dal produttore. Sulla base di convinzioni personali, il ricercatore ha deciso di notificare prima alla comunità il difetto e di rendere pubblici tutti i dettagli e gli exploit accesso.

Lui stesso afferma che non gli piace ascoltare le richieste dei fornitori per tacere sui bug rilevati. Tuttavia, nonostante ciò, mcw0 ha rimosso il proof of concept e ha concesso al produttore 30 giorni di tempo per correggere la vulnerabilità. La situazione è aggravata dal fatto che il software sviluppato da Dahua è utilizzato da altre aziende, che a loro volta potrebbero non disporre di risorse sufficienti per aggiornare i loro prodotti.

Un'attenta considerazione del repository github dove è stata pubblicata la proof of concept ha mostrato che il codice exploit non è stato completamente rimosso e può essere facilmente ripristinato senza attendere un mese e senza contattare il ricercatore. Per eliminare completamente un file dalla cronologia, è necessario utilizzare la funzionalità git (git rm e git rebase) corrispondente. Pochi giorni dopo il ricercatore, apparentemente accorgendosi della svista, ha rimosso completamente il repository e ne ha creato uno nuovo, senza alcuna traccia di exploit.

L'exploit è andato al laboratorio IoTsploit per un esame approfondito. Tutte le fasi di funzionamento sono state riprodotte manualmente per comprendere la meccanica della rottura. Il bug principale era che il file di configurazione dei dispositivi è disponibile per il download a qualsiasi utente non autorizzato.

Questo è un errore molto comune tra gli sviluppatori di dispositivi IoT. Una vulnerabilità simile è stata realizzata a loro tempo dagli sviluppatori di D-Link, Humax (CVE-20177315), Broadcom (CVE-20133690) e altre società. Nel file scaricato puoi trovare l'intero elenco degli utenti del dispositivo e gli hash delle password.

In caso di perdita del database, le password con hash per lo scopo previsto dovrebbero rendere difficile l'accesso al sistema da parte di un utente malintenzionato. Ma nel nostro caso, l'hash è sufficiente per la presenza di un'altra vulnerabilità come pass-the-hash. Il fatto è che il client desktop per la webcam è autorizzato sul server non utilizzando una password, ma utilizzando un hash della password.

Pertanto, l'exploit consente di accedere al sistema ed eseguire la gestione della telecamera sotto le spoglie di un client desktop. Tutto il codice dell'exploit è stato completamente riscritto e incorporato nel nostro framework di creazione, IoTsploit scanner, disponibile tramite abbonamento. Inoltre, abbiamo sviluppato uno strumento pubblico per verificare la suscettibilità alle vulnerabilità di qualsiasi IP su Internet.

Questo strumento non contiene un carico utile e quindi non può danneggiare il dispositivo in fase di test. Lo stesso strumento che abbiamo inviato per controllare 23mila dispositivi Dahua trovati nel motore di ricerca shodan. Inoltre, c'è un grafico aggiornato del numero di dispositivi vulnerabili ad accesso pubblico.

Il controllore è qui co/dahua/Questa ricerca e il controllore è stato realizzato da IoTSploit Team (Gleb Ershov). Non esitate a contattarci all'indirizzo e visitare il nostro sito Web all'indirizzo co/.