大华摄像头backdoor,漏洞?
想看摄像头么?我猜测会利用漏洞的你在电脑前肯定发出猥琐的笑声。没错,搞安全就是要猥琐。 和同事们出完这份报告后,大华股票没有跌,没错....因为停牌了。 而今天刚好POC可以放,就放出来耍耍吧。 摄像头的漏洞比寻常web的漏洞更刺激,因为可以做一些不可描述的事情,邪恶吧。
-------------------------------------------
00x1 升级补丁不当
在03月06日的时候,中国浙江的一家安全摄像头/DVR制造商大华科技(Dahua Technology)针对旗下的不少产品推送了固件升级补丁,推出固件的补丁被爆存在后门,攻击者利用该后门,就能远程访问摄像头产品中的用户密码哈希的数据库。攻击者可以获取到数据库中身份凭证信息,进而登录设备,最终导致设备被黑客完全控制。目前浙江大华摄像头在全球共有约70万台。
这个是不是后门,我们无力发声,让圈子的人评估吧。POC是一个国外的哥们放出来的,一不小心就拿到了。
00x2 漏洞原理与危害
目前,大华摄像头共发现11个型号的摄像头设备存在后门,攻击者可远程下载存储有用户名和密码哈希的凭证文件,其中包含管理员的账户和密码。攻击获取到这些信息后,可以直接登录,完全控制摄像头设备。
2017年3月6日该后门发现者已经公布PoC代码,后经过与大华公司沟通,作者已经删除PoC,称2017年4月5日会再次发布。尽管如此,该PoC可能已经小范围流传,并有可能在网络中进行扫描攻击。此前针对IoT的恶意代码Mirai活动中就包含大华的IoT设备,用于发起DDOS攻击行为。
说到这里我们看看fofa系统描绘的统计图:
00x3 漏洞分析与利用
此处后门有两个地方,其中一处为任何未经授权的人都可以访问和下载路径为 /current_config/passwd 的存储有用户名和密码hash的凭证信息数据库,其中包含有管理员的用户名和密码。
此处密码为加密。而获得的该密码不需要解密。大华设备有相应的web接口,可以提供登录。这样就可以通过泄露的信息通过web接口进行登录。Web接口地址为/RPC2_Login,,该接口支持3种不同的客户端类型,其中包括Web3.0,Default(默认),OldDigest。要想成功登录首先根据获取的管理员账户以Web3.0方式发送请求,获取session,然后在把获取的session,用户名和密码hash以OldDigest方式发送请求即可登录成功。以下为成功登录后的效果截图。
根据获取的MD5 hash,首先需要先以Web3.0类型请求 /RPC2_Login 获取一个系统随机生成的字符串和session,然后将用户名,随机字符串和获取的MD5 hash,使用冒号分隔组合成一个新的字符串,将新生成的字符串在使用MD5加密。以Default(默认)类型请求/RPC2_Login 接口即可成功登录。效果如下图:
到了这里还要我放POC么?真的要就私聊我吧... 后台M我,就ok了。
00x4 漏洞影响
目前大华官方已经公布受影响列表,目前已经确定共有11款型号存在该后门,其他型号大华公司还在进一步确认中。大华公司仍在对此问题进行调查,可能还有其他设备受到影响。列表如下:
DH-IPC-HDW23A0RN-ZS DH-IPC-HDBW23A0RN-ZS DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DHI-HCVR51A04HE-S3 DHI-HCVR51A08HE-S3 DHI-HCVR58A32S-S2