Kate Li (Taiwan)的部落格

首頁

海康威視(hikvision)安防監控錄影機曝遠程程式碼執行漏洞

作者 iacona 時間 2020-03-01
all

*本文中涉及到的相關漏洞已報送廠商並得到修復,本文僅限科技研究與討論,嚴禁用於非法用途,否則產生的一切後果自行承擔。

知名監控產品供應商海康威視(Hikvision)的大量数位錄影機設備被曝存在遠程程式碼執行漏洞,駭客可以由此直接獲取設備最高許可權。海康威視是中國領先的監控產品供應商。在今年大約3月末的時候,海康威視曾被爆出其設備因默認密碼是12345,而被攻擊者充當比特幣挖掘器的安全事件。

漏洞初探

從知名網路安全Rapid7公司的報告來看,海康威視的数位錄影機在實时資料流程協定的請求處理程式碼中,包含三個典型的緩衝區溢出漏洞。上周,Rapid7發佈了該漏洞的Metasploit測試模塊,研究人員可以通過這個模塊實現遠程程式碼執行漏洞利用測試。

Hikvision的数位錄影機並不是一款家用設備,它的設計初衷是用來存儲監測記錄和辦公樓樓宇的安全監控錄影的,也就是一款安防設備。Rapid7對整個網絡進行了批量檢測,試圖獲取含有該漏洞的設備數量。最後他們表示,在IPv4協定的網絡裏,大約有150000臺海康威視設備存在該漏洞。

Rapid7公司的安全研究員Mark Schloesser推測,這批海康威視設備的普及,可能與該公司出品的iPhone APP有關,該應用允許用戶通過手機APP遠程監控錄影。

漏洞淺析

具體的漏洞編號是CVE-2014-4878、CVE-2014-4879和CVE-2014-4880。漏洞大體原理即:在RTSP(TCP/ IP協議體系中的雙向實时流傳輸協定)的請求body、請求頭以及基礎認證處理中,通過某種手法實現緩衝區溢位。接下來即使不經過認證,駭客也能實現遠程任意程式碼執行。

安全研究員還指出了另一個讓人不禁吐槽的點,這類設備還帶著弱口令:帳號admin,密碼12345。

第一個漏洞(CVE-2014-4878):

安全研究員解釋道:RTSP請求處理機制使用了一個固定大小為2014位元組的緩衝區,來填充http請求body。如果你發送一個更大的body會導致緩衝區溢位。這個漏洞可以被利用來進行程式碼執行。但Rapid7公司認為這個漏洞實為拒絕服務攻擊。

第二個漏洞(CVE-2014-4879):

RTSP請求處理機制在解析http頭的時候,也使用了固定大小的緩衝區。與前面類似,當用戶發送一個過大的http頭時,也會出現緩衝區溢位。在write-up裏,安全研究員表示:該漏洞除了用來實現任意程式碼執行,也可以用於拒絕服務攻擊。

第三個漏洞(CVE-2014-4880):

用戶可以通過發送一個特製的RTSP請求,在RTSP事務對基礎認證頭進行處理的時候,引發緩衝區溢位。

Schloesser解釋道:

這個漏洞的利用不需要做認證,通過Metasploit利用測試模塊(點我下載)可以看到,攻擊者可以輕鬆拿下存在該漏洞設備的最高許可權。

海康威視漏洞歷史

Rapid7在一臺固件為V2.2.10 build 131009的Hikvision-DS-7204-HVI-SV上發現並實驗了這些漏洞。儘管他們並沒有做全面測試來列出海康威視受漏洞影響的版本號和設備,但可以確定其他同類產品也受到了影響。安全研究人員Schloesser在發現了這些漏洞後,於9月15日將其上報給海康威視,並在11月19日公佈了漏洞。

Threatpost記者試圖聯系海康威視,確認相關事件的細節。但直到這篇文章發表時,海康威視官方還沒有給出任何回應。

海康威視也不是第一次出漏洞了。SANS研究所安全處理日記部落格的Johannes Ullrich發佈過,Threatpost在以前的文章中也報導過相關事件:海康威視数位錄影機曾受“The Moon”蠕蟲影響,成為挖比特幣的免費礦工,以及被利用來掃描Synology磁片站。而其漏洞中最大的槽點就是設備的root密碼居然是12345,並且至今仍未改變。

Ullrich還寫道:

相關閱讀

海康威視錄影機(DVR)被用於發動網絡攻擊和比特幣挖礦針對Android上的ROP攻擊剖析       

[參攷來源threatpost.com,譯/FreeBuf小編dawner,本文為內容作者獨立觀點,並不代表FreeBuf立場]