“老洞”背锅，万台大华DVR设备登录密码被搜索引擎收录

7月16日，据外媒 BleepingComputer 报道，数万台大华设备的登录密码被缓存在物联网搜索引擎ZoomEye的搜索结果中。

物联网安全公司 NewSky 的首席研究员 Ankit Anubhav 发现，这些密码都来自运行了老旧固件的大华硬盘录像机 (Dahua DVR)，更为关键的是，这些固件上还存在一个已存在五年之久的漏洞。

DVR 仍然运行老旧固件

这个存在了五年的“老洞”是被 Depth Security 公司的安全研究员 Jake Reynolds 所发现，另外 Reynolds 和 Anubhav 都指出了漏洞利用过程，首先攻击者启动端口 37777 上大华 DVR 的原始TCP连接，并发送一个特殊 payload。一旦大华设备接收到这个 payload 后，会启动 DDNS 凭证以明文形式访问该设备和其它数据。

事实上，漏洞 CVE-2013-6117 不是没被修复，早在2013年被发现之时就已经得到修复，只不过部分用户忽略了这一漏洞，没有更新设备，甚至到现在还继续使用这些运行着老旧固件的 DVR。

大华密码被 ZoomEye 索引

使用老旧固件还不算麻烦，更麻烦的是本周早些时候，Anubhav 发现物联网搜索引擎 ZoomEye 一直都在以一种特殊的方式对这些大华设备进行索引。

“事实上，黑客不需要利用这个漏洞，因为当 ZoomEye 扫描端口 37777 时，它会传递这些特殊的字节并以明文方式缓存输出，所以黑客只需进入ZoomEye，创建一个免费帐户，并销毁结果，以获取凭证，”Anubhav表示。

也就是说，只要黑客动动手指，就可以轻松获取你的设备密码。

Anubhav 在发现这一现象后联系了 ZoomEye 团队，试图让对方删除这些缓存密码或将结果模糊化，但目前对方尚未回应。

早前也有人尝试简单粗暴地利用漏洞劫持大华 DVR 并破坏设备让其无法运作，这样总不会被 ZoomEye 索引了吧。太天真了，ZoomEye 还在不断列出新近增加的设备。

到底有多少设备易被攻击？

Bleeping Computer 经过快速搜索后发现约有 3 万台大华设备运行了旧的固件版本容易受到攻击，其中有1.58 万台大华设备的密码是“admin”，1.4万台的密码是“123456”，600多台的密码是“password”。

更令人担心的是，想要知道这些只需要动手进行 3 次查询。

雷锋网 VIA BleepingComputer