Kate Li (Taiwan)的部落格

首頁

國內某廠商監視器敏感資訊洩露漏洞事件分析

作者 morcillo 時間 2020-03-22
all

PDF版報告下載:國內某廠商監視器敏感資訊洩露事件分析English Version: Webcam Sensitive Information Disclosure Vulnerability Analysis

Author:知道創宇404實驗室Date:2017/03/21

1.事件概述

國內某家監控產品供應商和解決方案服務商旗下有多款監控攝像機以及相關的配套設備。2017年3月5日,知道創宇旗下漏洞平臺Seebug[0]上收錄了一比特名為“bashis”的國外安全研究員發佈了一個漏洞公告,聲稱該廠商科技的多款監視器存在“backdoor”漏洞[1]。隨即在2017年3月6日該廠商官方在發佈漏洞公告稱(Security-Bulletin_030617)裏確認了該漏洞存在並發佈了最新的固件裏修復了該漏洞。

知道創宇404實驗室通過研究分析成功複現了該漏洞,確定該漏洞是一個敏感資訊洩露漏洞。攻擊者無需任何憑證的情况下訪問一個連結即可得到監視器設備Web管理的用戶名和雜湊密碼等資訊洩露:

攻擊者通過這個洩露的用戶名和雜湊密碼可直接控制管理該監視器設備。隨後知道創宇404實驗室通過“ZoomEye網路空間搜尋引擎”[3]並於3月19日對全網進行探測。3月19日的數據結果顯示互聯網上仍然有20多萬的監視器設備存在該漏洞,並可能影響到除某廠商品牌外的其他多個品牌監視器設備。

2.漏洞影響範圍

2.1設備總量

我們使用ZoomEye提供的默認Dork(搜索條件),可以發現ZoomEye網路空間搜尋引擎歷史上收集了174.4萬某廠商監視器相關的IP數據[4]。

https://www.zoomeye.org/search?t=host&q=app%3A%22Dahua+Web+Camera+Server%22

2.2受漏洞影響的風險設備的數量

針對知道創宇404安全實驗室於3月19日通過對ZoomEye網路空間引擎對全球進行探測結果顯示距離某廠商官方於3月6日發佈陞級公告後(13天)全球仍然有20.6萬設備存在該資訊洩露漏洞。以下是針對風險設備的統計和分析。

2.2.1風險設備的地區分佈

由下圖可見,風險設備分佈在全球178個國家中。在全世界範圍內,美國、歐洲、非洲以及南亞地區的風險設備數量較多。而中國區域內,北京、上海、廣州、南京和哈爾濱這幾個都市風險設備最多。

2.2.2風險設備的埠分佈

在實際的探測中,我們發現風險監視器的Web服務開在了不同的埠,除此以外還有各種其他的埠開放。根據統計,共有248個埠開放在互聯網上,下圖是數量最多的十個埠。由下圖可見,大多數服務還是開放在80埠,但是也有很多安裝、運維人員將埠修改到了其他埠,這樣的行為在一定程度上是能够新增設備的安全性的。

2.2.3風險設備的品牌分佈

針對這些存在漏洞的設備嘗試進行進一步分析,我們選取了這些設備服務器上的favicon.ico的MD5值校驗,總共發現了以下五組MD5值及對應數量:

注:另有496個設備不存在favicon.ico檔案

我們分別選取了5組md5裏的部分目標進行實際訪問及網頁程式碼分析發現,這五組md5的網頁程式碼都基本相似,在相關的JavaScript腳本程式碼裏都存在“3.0-Web3.0”字串,主要的區別是在WEB管理登錄頁面圖片不一樣。如:

我們注意到“bd9e17c46bbbc18af2a2bd718dddad0e”組的品牌監視器數據量多達197634,遠遠超過了其他4組的數據,這些設備的登入頁面截圖如下:

沒有看到明確的“品牌”提示,於是我們通過穀歌得蒐索找到如下網頁[5]:https://www.worldeyecam.com/blog/technical-questions/configuring-ntp-imaxcampro.html關聯到一個叫“imaxcampro”的品牌監視器。

根據以上分析,我們大膽的推測5組不同的favicon.ico檔案md5-hash的品牌的監視器設備基於某廠商設備修改而來,具體發佈如下[6][7][8][9]:

針對排名最多的疑似叫“imaxcampro”的品牌監視器繼續進行了全球地區分佈統計:

可以看出這些設備主要分佈在美歐及亞洲的韓國印度等海外市場。

3.檢測與修復

檢查方法:

由於該漏洞影響較大發佈檢測工具可能導致漏洞細節的洩露,另漏洞發現者在漏洞公告當天就删除了相關漏洞驗證程式,所以這裡暫時不提供相關檢測程式。對於使用上述品牌監視器需要檢查相關設備安全的組織或組織,請與知道創宇404實驗室聯系。

修復方法:

針對該漏洞廠商官方在3月6日就發佈了相關的漏洞公告、影響設備型號及陞級方法詳見[2]:http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php

針對其他影響的品牌現時知道創宇404實驗室正在積極聯系相關廠商確認並協助修復相關漏洞。

4.結論

在此次事件根據及分析過程中該漏洞被披露後某廠商公司隨即進行了安全應急回應確認了漏洞並發佈了相關公告及固件升級,從13天后的全球統計資料及品牌分析標注了dahua的品牌只佔有109個,從這個角度來看說明某廠商公司的應急是有顯著的效果的,同時也說明基於同一種產品不同品牌的設備影響還非常大。這個案例也反映了一個存在於IoT等設備安全現狀:廠商或品牌的合作流程裏現時廣泛缺少了對應的“安全”流程,這顯然已經成為IoT設備安全一個重要的“缺陷”。

5.參攷連結

[0]. Seebug漏洞平臺https://www.seebug.org[1]. 0-Day: Dahua backdoor Generation 2 and 3 https://www.seebug.org/vuldb/ssvid-92745[2]. Dahua Security Bulletin March 6,2017 http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php[3]. ZoomEye網路空間搜尋引擎https://www.zoomeye.org/[4]. ZoomEye網路空間搜尋引擎蒐索某廠商相關監視器設備https://www.zoomeye.org/search?t=host&q=app%3A“Dahua +Web+Camera+Server”[5]. Configuring automatic time updating for iMaxCamPro DVRs and NVRshttps://www.worldeyecam.com/blog/technical-questions/configuring-ntp-imaxcampro.html[6]. CRECREDIT TECH http://crecreditcctv.com/[7]. Hi-Focus http://hifocuscctv.com/[8]. Honeywell International Inc. https://www.honeywell.com/[9]. Worldeyecam,INC https ://www.worldeyecam.com/about-us.html

本文由Seebug Paper發佈,如需轉載請注明來源。本文地址:https://paper.seebug.org/257/