大華安全攝像頭後門檢查器及其背後的故事

2017年3月6日,在定期監控期間,我們的專家在seclists上發現了來自獨立研究人員的消息,該研究人員報告了大華產品的問題。 以mcw0為名的用戶確信此漏洞,即未經身份驗證的用戶管理,是製造商故意留下的。 基於個人信念,研究人員決定首先將缺陷通知社區,並將所有細節和漏洞利用置於公共訪問中。

他本人說,他不喜歡聽供應商的要求,對發現的錯誤保持沉默。 然而,儘管如此,mcw0刪除了概念證明,並給製造商30天的時間來修復該漏洞。 大華開發的軟件被其他公司使用,這反過來可能沒有足夠的資源來更新其產品,這一事實加劇了這種情況。

對發布概念證明的github存儲庫的仔細考慮表明,漏洞利用代碼沒有被完全刪除,無需等待一個月,也無需聯繫研究人員即可輕鬆恢復。 要從歷史記錄中完全刪除文件,您需要使用相應的git (git rm和git rebase) 功能。 幾天后,研究人員顯然注意到了疏忽,完全刪除了存儲庫並創建了一個新的存儲庫,沒有任何利用的痕跡。

該漏洞已進入IoTsploit實驗室進行徹底檢查。 手動複製了所有操作階段,以了解斷裂的機理。 主要錯誤是設備配置文件可下載給任何未經授權的用戶。

這是物聯網設備開發人員中非常常見的錯誤。 D-Link,Humax (CVE-20177315),Broadcom (CVE-20133690) 和其他公司的開發人員在他們的時代也遇到了類似的漏洞。 在下載的文件中,您可以找到設備用戶的整個列表和密碼哈希。

如果數據庫洩漏,則針對其預期目的的散列密碼將使攻擊者難以訪問系統。 但是在我們的案例中,由於存在另一個漏洞 (例如hash傳遞),因此哈希就足夠了。 事實是,web攝像機的桌面客戶端在服務器上不是使用密碼,而是使用密碼的哈希進行授權。

因此,該漏洞利用允許您進入系統並以桌面客戶端為幌子執行攝像機管理。 所有漏洞利用代碼都被完全重寫並嵌入到我們的創作框架IoTsploit掃描儀中,可通過訂閱獲得。 此外,我們還開發了一個公共工具來檢查互聯網上的任何ip是否容易受到漏洞的影響。

該工具不包含有效載荷,因此不會損壞正在測試的設備。 我們發送了相同的工具來檢查在搜索引擎shodan中找到的23,000大華設備。 此外,還有一個更新的公共訪問中易受攻擊設備數量的圖表。

檢查器在這裡是co/dahua/這項研究,檢查器是由IoTSploit團隊 (Gleb Ershov) 製作的。 請隨時通過co/與我們聯繫並訪問我們的網站。