大华安全摄像头后门检查器及其背后的故事

2017年3月6日，在定期监控期间，我们的专家在seclists上发现了来自独立研究人员的消息，该研究人员报告了大华产品的问题。 以mcw0为名的用户确信此漏洞，即未经身份验证的用户管理，是制造商故意留下的。基于个人信念，研究人员决定首先将缺陷通知社区，并将所有细节和漏洞利用置于公共访问中。

他本人说，他不喜欢听供应商的要求，对发现的错误保持沉默。 然而，尽管如此，mcw0删除了概念证明，并给制造商30天的时间来修复该漏洞。大华开发的软件被其他公司使用，这反过来可能没有足够的资源来更新其产品，这一事实加剧了这种情况。

对发布概念证明的github存储库的仔细考虑表明，漏洞利用代码没有被完全删除，无需等待一个月，也无需联系研究人员即可轻松恢复。 要从历史记录中完全删除文件，您需要使用相应的git (git rm和git rebase) 功能。 几天后，研究人员显然注意到了疏忽，完全删除了存储库并创建了一个新的存储库，没有任何利用的痕迹。

该漏洞已进入IoTsploit实验室进行彻底检查。 手动复制了所有操作阶段，以了解断裂的机理。 主要错误是设备配置文件可下载给任何未经授权的用户。

这是物联网设备开发人员中非常常见的错误。 D-Link，Humax (CVE-20177315)，Broadcom (CVE-20133690) 和其他公司的开发人员在他们的时代也遇到了类似的漏洞。在下载的文件中，您可以找到设备用户的整个列表和密码哈希。

如果数据库泄漏，则针对其预期目的的散列密码将使攻击者难以访问系统。 但是在我们的案例中，由于存在另一个漏洞 (例如hash传递)，因此哈希就足够了。 事实是，web摄像机的桌面客户端在服务器上不是使用密码，而是使用密码的哈希进行授权。

因此，该漏洞利用允许您进入系统并以桌面客户端为幌子执行摄像机管理。所有漏洞利用代码都被完全重写并嵌入到我们的创作框架IoTsploit扫描仪中，可通过订阅获得。 此外，我们还开发了一个公共工具来检查互联网上的任何ip是否容易受到漏洞的影响。

该工具不包含有效载荷，因此不会损坏正在测试的设备。 我们发送了相同的工具来检查在搜索引擎shodan中找到的23,000大华设备。此外，还有一个更新的公共访问中易受攻击设备数量的图表。

检查器在这里是co/dahua/这项研究，检查器是由IoTSploit团队 (Gleb Ershov) 制作的。 请随时通过co/与我们联系并访问我们的网站。