داہوا سیکیورٹی کیمرہ بیک ڈور چیکر اور اس کے پیچھے کی کہانی

6 مارچ 2017 کو، ہمارے ماہرین کو ایک باقاعدہ نگرانی کے دوران سیکلسٹ پر ایک آزاد محقق کا پیغام ملا جس نے Dahua کی مصنوعات میں مسائل کی اطلاع دی۔ mcw0 نام کے صارف کو یقین تھا کہ یہ کمزوری، یعنی غیر مستند یوزر مینجمنٹ، کو مینوفیکچرر نے جان بوجھ کر چھوڑ دیا تھا۔ ذاتی عقائد کی بنیاد پر، محقق نے فیصلہ کیا کہ سب سے پہلے کمیونٹی کو عیب کی اطلاع دی جائے اور تمام تفصیلات اور کارناموں کو عوام کے سامنے رکھا جائے۔ رسائی

وہ خود کہتے ہیں کہ وہ دکانداروں کی جانب سے پائے جانے والے کیڑے کے بارے میں خاموش رہنے کی درخواستوں کو سننا پسند نہیں کرتے۔ تاہم، اس کے باوجود، mcw0 نے تصور کے ثبوت کو ہٹا دیا اور مینوفیکچرر کو کمزوری کو دور کرنے کے لیے 30 دن کا وقت دیا۔ صورت حال اس وجہ سے بگڑ گئی ہے کہ Dahua کے تیار کردہ سافٹ ویئر کو دوسری کمپنیاں استعمال کرتی ہیں، جس کے نتیجے میں اس کے لیے اتنے وسائل نہیں ہوتے کہ اپنی مصنوعات کو اپ ڈیٹ کریں۔

گتھب ریپوزٹری پر غور سے غور کیا جائے جہاں تصور کا ثبوت شائع کیا گیا تھا کہ ایکسپلائٹ کوڈ کو مکمل طور پر ہٹایا نہیں گیا تھا اور ایک ماہ انتظار کیے بغیر اور محقق سے رابطہ کیے بغیر آسانی سے بحال کیا جا سکتا ہے۔ تاریخ سے کسی فائل کو مکمل طور پر حذف کرنے کے لیے، آپ کو متعلقہ گٹ (گٹ آر ایم اور گٹ ریبیس) کی فعالیت کو استعمال کرنے کی ضرورت ہے۔ کچھ دنوں کے بعد محقق نے، بظاہر نگرانی کو دیکھتے ہوئے، ذخیرہ کو مکمل طور پر ہٹا دیا اور استحصال کے کسی نشان کے بغیر، ایک نیا بنایا۔

یہ استحصال مکمل جانچ کے لیے IoTsploit لیبارٹری میں گیا۔ توڑنے کے میکانکس کو سمجھنے کے لیے آپریشن کے تمام مراحل کو دستی طور پر دوبارہ تیار کیا گیا تھا۔ اہم خرابی یہ تھی کہ ڈیوائسز کنفیگریشن فائل کسی بھی غیر مجاز صارف کے لیے ڈاؤن لوڈ کے لیے دستیاب ہے۔

یہ IoT ڈیوائسز ڈویلپرز کے درمیان ایک بہت عام غلطی ہے۔ اسی طرح کا خطرہ D-Link، Humax (CVE-20177315)، Broadcom (CVE-20133690) اور دیگر کمپنیوں کے ڈویلپرز نے اپنے وقت میں بنایا تھا۔ ڈاؤن لوڈ کی گئی فائل میں آپ ڈیوائس استعمال کرنے والوں کی پوری فہرست اور پاس ورڈ کی ہیشز تلاش کر سکتے ہیں۔

ڈیٹا بیس کے لیک ہونے پر، اپنے مطلوبہ مقصد کے لیے ہیش کیے گئے پاس ورڈز کو حملہ آور کے لیے سسٹم تک رسائی حاصل کرنا مشکل بنا دینا چاہیے۔ لیکن ہمارے معاملے میں، پاس-دی-ہیش جیسی دوسری کمزوری کی موجودگی کی وجہ سے ہیش کافی ہے۔ حقیقت یہ ہے کہ ویب کیمرہ کے لیے ڈیسک ٹاپ کلائنٹ کو سرور پر پاس ورڈ کا استعمال نہیں بلکہ پاس ورڈ کی ہیش کا استعمال کرنے کی اجازت ہے۔

اس طرح، استحصال آپ کو سسٹم میں داخل ہونے اور ڈیسک ٹاپ کلائنٹ کی آڑ میں کیمرہ مینجمنٹ انجام دینے کی اجازت دیتا ہے۔ تمام ایکسپلائٹ کوڈ کو مکمل طور پر دوبارہ لکھا گیا تھا اور ہمارے تصنیف کے فریم ورک، IoTsploit سکینر میں شامل کیا گیا تھا، جو سبسکرپشن کے ذریعے دستیاب ہے۔ اس کے علاوہ، ہم نے ایک عوامی ٹول تیار کیا ہے تاکہ انٹرنیٹ پر کسی بھی ip کو کمزوریوں کی حساسیت کے لیے چیک کیا جا سکے۔

اس ٹول میں پے لوڈ نہیں ہے، اور اس وجہ سے ٹیسٹ کیے جانے والے آلے کو نقصان نہیں پہنچا سکتا۔ اسی ٹول کو ہم نے سرچ انجن شوڈان میں پائے جانے والے 23 ہزار داہوا ڈیوائسز کو چیک کرنے کے لیے بھیجا تھا۔ اس کے علاوہ، عوام کی رسائی میں کمزور ڈیوائسز کی تعداد کا ایک اپ ڈیٹ گراف بھی موجود ہے۔

چیکر یہاں co/dahua/یہ تحقیق ہے اور چیکر کو IoTSploit ٹیم (Gleb Ershov) نے بنایا تھا۔ بلا جھجھک ہم سے رابطہ کریں اور co/ پر ہماری ویب سائٹ دیکھیں۔