Dahua 防犯カメラ バックドア チェッカーとその裏話

2017 年 3 月 6 日、定期的な監視中に、当社のスペシャリストは、大華製品の問題を報告した独立した研究者からのメッセージを seclists で発見しました。 mcw0 という名前のユーザーは、この脆弱性、つまり認証されていないユーザー管理が製造元によって意図的に残されたものであると確信していました.個人的な信念に基づいて、研究者は最初に欠陥をコミュニティに通知し、すべての詳細と悪用を公開することにしました.アクセス。

彼自身は、発見されたバグについて黙っていてほしいというベンダーの要求に耳を傾けるのが好きではないと言っています。 しかし、それにもかかわらず、mcw0 は概念実証を削除し、メーカーに脆弱性を修正するために 30 日間の猶予を与えました。Dahua によって開発されたソフトウェアが他の企業によって使用されているという事実によって、状況は悪化しています。製品を更新します。

概念実証が公開された github リポジトリを注意深く調べたところ、エクスプロイト コードは完全には削除されておらず、1 か月待たずに研究者に連絡することなく簡単に復元できることがわかりました。 履歴からファイルを完全に削除するには、対応する git (git rm および git rebase) 機能を使用する必要があります。 数日後、明らかに見落としに気付いた研究者は、リポジトリを完全に削除し、エクスプロイトの痕跡を残さずに新しいリポジトリを作成しました。

エクスプロイトは IoTsploit 研究所に送られ、徹底的な検査を受けました。 破壊のメカニズムを理解するために、操作のすべての段階が手動で再現されました。 主なバグは、権限のないユーザーがデバイスの構成ファイルをダウンロードできることです。

これは、IoT デバイスの開発者の間で非常によくある間違いです。 同様の脆弱性は、D-Link、Humax (CVE-20177315)、Broadcom (CVE-20133690)、およびその他の企業の開発者によって作成されました。ダウンロードしたファイルには、デバイス ユーザーの完全なリストとパスワードのハッシュが含まれています。

データベースが漏えいした場合、本来の目的のためにハッシュ化されたパスワードにより、攻撃者がシステムにアクセスすることは困難になります。 しかし、私たちの場合、pass-the-hash などの別の脆弱性が存在するため、ハッシュで十分です。 実際には、Web カメラのデスクトップ クライアントはサーバー上でパスワードではなく、パスワードのハッシュを使用して認証されます。

したがって、エクスプロイトにより、システムに侵入し、デスクトップクライアントを装ってカメラ管理を実行できます.すべてのエクスプロイトコードは完全に書き直され、サブスクリプションで利用可能なオーサリングフレームワークである IoTsploit スキャナーに埋め込まれています. さらに、脆弱性に対する脆弱性についてインターネット上の任意の IP をチェックするための公開ツールを開発しました。

このツールにはペイロードが含まれていないため、テスト対象のデバイスを損傷することはありません。 検索エンジン shodan で見つかった 23,000 の Dahua デバイスをチェックするために送信した同じツール。また、パブリック アクセスにおける脆弱なデバイスの数の更新されたグラフがあります。

チェッカーはこちら co/dahua/この調査とチェッカーは IoTSploit チーム (Gleb Ershov) によって作成されました。 お気軽にお問い合わせください。