Проверка бэкдора камеры безопасности Dahua и история, стоящая за ней

6 марта 2017 года в ходе очередного мониторинга наши специалисты обнаружили в секлистах сообщение от независимого исследователя, который сообщил о проблемах в продукции Dahua. Пользователь под ником mcw0 был убежден, что данная уязвимость, а именно неавторизованное управление пользователями, была оставлена ​​производителем намеренно. Основываясь на личных убеждениях, исследователь решил сначала уведомить сообщество о дефекте и выложить все подробности и эксплойты в открытый доступ. доступ.

Сам он говорит, что не любит слушать просьбы вендоров молчать о найденных багах. Однако, несмотря на это, mcw0 удалили proof of concept и дали производителю 30 дней на устранение уязвимости. Ситуация усугубляется тем, что ПО, разработанное Dahua, используется другими компаниями, у которых в свою очередь может не хватить ресурсов для обновить свою продукцию.

Внимательное изучение репозитория github, где был опубликован proof of concept, показало, что код эксплойта не был удален полностью и его можно легко восстановить, не дожидаясь месяца и не обращаясь к исследователю. Чтобы полностью удалить файл из истории, нужно использовать соответствующий функционал git (git rm и git rebase). Через несколько дней исследователь, видимо, заметив оплошность, полностью удалил репозиторий и создал новый, без каких-либо следов эксплойта.

Эксплойт отправился в лабораторию IoTsploit для тщательного изучения. Все этапы работы были воспроизведены вручную, чтобы понять механику взлома. Основная ошибка заключалась в том, что файл конфигурации устройств был доступен для скачивания любому неавторизованному пользователю.

Это очень распространенная ошибка среди разработчиков IoT-устройств. Аналогичную уязвимость сделали в свое время разработчики из D-Link, Humax (CVE-20177315), Broadcom (CVE-20133690) и других компаний. В скачанном файле вы найдете весь список пользователей устройства и хэши паролей.

В случае утечки базы данных хешированные пароли по прямому назначению должны затруднить доступ злоумышленника к системе. Но в нашем случае хэша достаточно из-за наличия другой уязвимости, такой как pass-the-hash. Дело в том, что десктопный клиент для веб-камеры авторизуется на сервере не по паролю, а по хешу пароля.

Таким образом, эксплойт позволяет проникнуть в систему и осуществлять управление камерой под видом настольного клиента. Весь код эксплойта был полностью переписан и встроен в наш авторский фреймворк сканер IoTsploit, доступный по подписке. Кроме того, мы разработали общедоступный инструмент для проверки любого ip в Интернете на подверженность уязвимостям.

Этот инструмент не содержит полезной нагрузки и поэтому не может повредить тестируемое устройство. Этот же инструмент мы отправили для проверки 23 тысяч устройств Dahua, найденных в поисковике shodan. Также в открытом доступе есть обновленный график количества уязвимых устройств.

Проверка находится здесь co/dahua/ Это исследование и проверка были сделаны командой IoTSploit (Глеб Ершов). Свяжитесь с нами по адресу и посетите наш веб-сайт по адресу co/.