Verificador de backdoor da câmera de segurança Dahua e a história por trás dele

Em 6 de março de 2017, durante um monitoramento regular, nossos especialistas encontraram nos seclistas uma mensagem de um pesquisador independente que relatou problemas nos produtos Dahua. O usuário sob o nome mcw0 estava convencido de que esta vulnerabilidade, ou seja, gerenciamento de usuários não autenticados, foi deixada pelo fabricante de propósito. Acesso.

Ele mesmo diz que não gosta de ouvir pedidos de fornecedores para ficar calado sobre os bugs encontrados. No entanto, apesar disso, o mcw0 retirou a prova de conceito e deu 30 dias ao fabricante para corrigir a vulnerabilidade. A situação é agravada pelo fato de o software desenvolvido pela Dahua ser utilizado por outras empresas, que por sua vez podem não ter recursos suficientes para atualizar seus produtos.

A consideração cuidadosa do repositório github onde a prova de conceito foi publicada mostrou que o código de exploração não foi completamente removido e pode ser facilmente restaurado sem esperar um mês e sem entrar em contato com o pesquisador. Para excluir completamente um arquivo do histórico, você precisa usar a funcionalidade correspondente do git (git rm e git rebase). Alguns dias depois, o pesquisador, aparentemente percebendo o descuido, removeu completamente o repositório e criou um novo, sem nenhum vestígio de exploração.

A exploração foi para o laboratório IoTsploit para um exame completo. Todas as etapas de operação foram reproduzidas manualmente para entender a mecânica de quebra. O principal bug era que o arquivo de configuração dos dispositivos fica disponível para download para qualquer usuário não autorizado.

Esse é um erro muito comum entre os desenvolvedores de dispositivos IoT. Uma vulnerabilidade semelhante foi feita em seu tempo por desenvolvedores da D-Link, Humax (CVE-20177315), Broadcom (CVE-20133690) e outras empresas.No arquivo baixado, você pode encontrar toda a lista de usuários do dispositivo e hashes de senhas.

Se o banco de dados vazar, as senhas com hash para a finalidade pretendida devem dificultar o acesso de um invasor ao sistema. Mas no nosso caso, o hash é suficiente devido à presença de outra vulnerabilidade, como pass-the-hash. O fato é que o cliente de desktop para a câmera da web é autorizado no servidor não usando uma senha, mas usando um hash da senha.

Assim, o exploit permite que você entre no sistema e execute o gerenciamento da câmera sob o disfarce de um cliente de desktop. Todo o código do exploit foi completamente reescrito e incorporado em nossa estrutura de autoria, o scanner IoTsploit, disponível por assinatura. Além disso, desenvolvemos uma ferramenta pública para verificar qualquer ip na Internet quanto à suscetibilidade a vulnerabilidades.

Esta ferramenta não contém carga útil e, portanto, não pode danificar o dispositivo que está sendo testado. A mesma ferramenta enviamos para verificar 23 mil dispositivos Dahua encontrados no buscador shodan. Além disso, há um gráfico atualizado do número de dispositivos vulneráveis ​​no acesso público.

O verificador está aqui co/dahua/Esta pesquisa e o verificador foi feito pela equipe IoTSploit (Gleb Ershov). Sinta-se à vontade para entrar em contato conosco e visite nosso site em co/.