大华摄像头backdoor,漏洞?

想看摄像头么?我猜测会利用漏洞的你在电脑前肯定发出猥琐的笑声。没错,搞安全就是要猥琐。 和同事们出完这份报告后,大华股票没有跌,没错....因为停牌了。 而今天刚好POC可以放,就放出来耍耍吧。 摄像头的漏洞比寻常web的漏洞更刺激,因为可以做一些不可描述的事情,邪恶吧。

-------------------------------------------

00x1 升级补丁不当

在03月06日的时候,中国浙江的一家安全摄像头/DVR制造商大华科技(Dahua Technology)针对旗下的不少产品推送了固件升级补丁,推出固件的补丁被爆存在后门,攻击者利用该后门,就能远程访问摄像头产品中的用户密码哈希的数据库。攻击者可以获取到数据库中身份凭证信息,进而登录设备,最终导致设备被黑客完全控制。目前浙江大华摄像头在全球共有约70万台。

这个是不是后门,我们无力发声,让圈子的人评估吧。POC是一个国外的哥们放出来的,一不小心就拿到了。

00x2 漏洞原理与危害

目前,大华摄像头共发现11个型号的摄像头设备存在后门,攻击者可远程下载存储有用户名和密码哈希的凭证文件,其中包含管理员的账户和密码。攻击获取到这些信息后,可以直接登录,完全控制摄像头设备。

2017年3月6日该后门发现者已经公布PoC代码,后经过与大华公司沟通,作者已经删除PoC,称2017年4月5日会再次发布。尽管如此,该PoC可能已经小范围流传,并有可能在网络中进行扫描攻击。此前针对IoT的恶意代码Mirai活动中就包含大华的IoT设备,用于发起DDOS攻击行为。

说到这里我们看看fofa系统描绘的统计图:

00x3 漏洞分析与利用

此处后门有两个地方,其中一处为任何未经授权的人都可以访问和下载路径为 /current_config/passwd 的存储有用户名和密码hash的凭证信息数据库,其中包含有管理员的用户名和密码。

此处密码为加密。而获得的该密码不需要解密。大华设备有相应的web接口,可以提供登录。这样就可以通过泄露的信息通过web接口进行登录。Web接口地址为/RPC2_Login,,该接口支持3种不同的客户端类型,其中包括Web3.0,Default(默认),OldDigest。要想成功登录首先根据获取的管理员账户以Web3.0方式发送请求,获取session,然后在把获取的session,用户名和密码hash以OldDigest方式发送请求即可登录成功。以下为成功登录后的效果截图。

根据获取的MD5 hash,首先需要先以Web3.0类型请求 /RPC2_Login 获取一个系统随机生成的字符串和session,然后将用户名,随机字符串和获取的MD5 hash,使用冒号分隔组合成一个新的字符串,将新生成的字符串在使用MD5加密。以Default(默认)类型请求/RPC2_Login 接口即可成功登录。效果如下图:

到了这里还要我放POC么?真的要就私聊我吧... 后台M我,就ok了。

00x4 漏洞影响

目前大华官方已经公布受影响列表,目前已经确定共有11款型号存在该后门,其他型号大华公司还在进一步确认中。大华公司仍在对此问题进行调查,可能还有其他设备受到影响。列表如下:

DH-IPC-HDW23A0RN-ZS DH-IPC-HDBW23A0RN-ZS DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DHI-HCVR51A04HE-S3 DHI-HCVR51A08HE-S3 DHI-HCVR58A32S-S2

原文发布于微信公众号 - 晨星先生(MoXuanIT)

原文发表时间:2017-04-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

施耐德电气修补16 个 U.motion Builder 软件漏洞

据外媒报道,施耐德电气于上周向其客户通报说已修复 U.motion Builder 最新版本中的 16 个漏洞,其中包括那些被评为严重和高危的漏洞,例如可能导致...

773
来自专栏沈唁志

手机QQ7.5.5坦白说功能已开放一键查询发送人QQ号

3121
来自专栏FreeBuf

Android N如何限制重置密码以遏制勒索软件

Android N安全特性概览 AndroidN即Android7.0,代号“牛轧糖”,是Google于2016年7月份推出的最新版智能手机操作系统。Andr...

2336
来自专栏沈唁志

整合ThinkPHP功能系列之使用聚合数据查询快递物流数据

聚合数据的快递类接口价格还是比较实惠的,而且在去年的时候受菜鸟顺丰互撕影响,聚合数据快递类接口接入量猛增

1803
来自专栏FreeBuf

RubyMiner挖矿程序24小时内影响全球30%的网络

近日,Check Point 的安全研究人员发现了 RubyMiner 恶意软件家族,针对全球的 web 服务器发起攻击,并试图利用这些服务器挖掘门罗币。24 ...

2328
来自专栏林德熙的博客

win10 uwp slider 隐藏显示数值

本文告诉大家,如何隐藏 slider 拖动出现的数值。 因为这个数值是控件给的,样子不好看,而且在 slider 的上面,不是在他的右边,所以需要隐藏他。

1081
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–通过直接资本化进行资产购置(163)-7 MIRO发票校验

4.12 MIRO按行项目收到发票 通过此步骤可完成发票校验,因为系统会根据收货数量或采购数量和采购价格将发票开票值与所收到的数量进行比较。 在这个步骤执行发票...

42311
来自专栏SAP最佳业务实践

SAP最佳业务实践:ETO–报价处理(232)-11根据客户新规范更改配置

image.png VA22根据客户新规范更改配置 向客户发送报价后,客户通知您他所需的更改。潜在客户需要的最终产品的数量有变化。 角色销售助理 后勤 ®销售和...

3617
来自专栏魏艾斯博客www.vpsss.net

腾讯云主机安全(云镜)安装使用教程 免费提供安全防护服务

腾讯云主机安全(云镜)是一款针对云主机安全防护的云产品,通过腾讯的大数据总结为用户提供黑客入侵检测和漏洞风险预警等安全防护服务及多层次全方位的系统防护技术,主要...

8862
来自专栏安恒信息

80%最畅销SOHO无线路由器发现安全漏洞

经过对很多小型和家庭办公使用最多的无线路由器的安全性进行检测之后发现,在亚马逊前25名最畅销的SOHO无线路由器中,80%存在安全漏洞。 ...

3759

扫码关注云+社区

领取腾讯云代金券