國內某廠商攝像頭敏感信息泄露漏洞事件分析

 

PDF 版報告下載: 國內某廠商攝像頭敏感信息泄露事件分析
English Version: Webcam Sensitive Information Disclosure Vulnerability Analysis

1. 事件概述

國內某家監控產品供應商和解決方案服務商旗下有多款監控攝像機以及相關的配套設備。2017年3月5日，知道創宇旗下漏洞平台Seebug[0]上收錄了一位名為“bashis”的國外安全研究員發布了一個漏洞公告，聲稱該廠商科技的多款攝像頭存在“backdoor”漏洞[1]。隨即在2017年3月6日該廠商官方在發布漏洞公告稱(Security-Bulletin_030617)里確認了該漏洞存在並發布了最新的固件里修復了該漏洞。

知道創宇404實驗室通過研究分析成功復現了該漏洞，確定該漏洞是一個敏感信息泄露漏洞。攻擊者無需任何憑證的情況下訪問一個鏈接即可得到攝像頭設備Web管理的用戶名和哈希密碼等信息泄露：

攻擊者通過這個泄露的用戶名和哈希密碼可直接控制管理該攝像頭設備。隨后知道創宇404實驗室通過"ZoomEye 網絡空間搜索引擎"[3]並於3月19日對全網進行探測。3月19日的數據結果顯示互聯網上仍然有20多萬的攝像頭設備存在該漏洞，並可能影響到除某廠商品牌外的其他多個品牌攝像頭設備。

2. 漏洞影響范圍

2.1 設備總量

我們使用ZoomEye提供的默認Dork(搜索條件)，可以發現ZoomEye網絡空間搜索引擎歷史上收集了174.4萬某廠商攝像頭相關的IP數據[4]。

https://www.zoomeye.org/search?t=host&q=app%3A%22Dahua+Web+Camera+Server%22

2.2 受漏洞影響的風險設備的數量

針對知道創宇404安全實驗室於3月19日通過對ZoomEye網絡空間引擎對全球進行探測結果顯示距離某廠商官方於3月6日發布升級公告后（13天）全球仍然有20.6萬設備存在該信息泄露漏洞。以下是針對風險設備的統計和分析。

2.2.1 風險設備的地區分布

由下圖可見，風險設備分布在全球178個國家中。在全世界范圍內，美國、歐洲、非洲以及南亞地區的風險設備數量較多。而中國區域內，北京、上海、廣州、南京和哈爾濱這幾個城市風險設備最多。

2.2.2 風險設備的端口分布

在實際的探測中，我們發現風險攝像頭的Web服務開在了不同的端口，除此以外還有各種其他的端口開放。根據統計，共有248個端口開放在互聯網上，下圖是數量最多的十個端口。由下圖可見，大多數服務還是開放在80端口，但是也有很多安裝、運維人員將端口修改到了其他端口，這樣的行為在一定程度上是能夠增加設備的安全性的。

2.2.3 風險設備的品牌分布

針對這些存在漏洞的設備嘗試進行進一步分析，我們提取了這些設備服務器上的favicon.ico的MD5值校驗，總共發現了以下五組MD5值及對應數量：

bd9e17c46bbbc18af2a2bd718dddad0e  197634
b39f249362a2e4ab62be4ddbc9125f53    5885  
bd1b5fef10a0846b2db322b90a57b746    109
d1ef1b4b9ef37b9dabec2db9e338de0f    237
a9d07db4284b4bdb144831a9ebb8dfd7  1546

注：另有496個設備不存在favicon.ico文件

我們分別選取了5組md5里的部分目標進行實際訪問及網頁代碼分析發現，這五組md5的網頁代碼都基本相似，在相關的JavaScript腳本代碼里都存在“3.0-Web3.0”字符串，主要的區別是在WEB管理登錄頁面圖片不一樣。如：

我們注意到“bd9e17c46bbbc18af2a2bd718dddad0e”組的品牌攝像頭數據量多達197634，遠遠超過了其他4組的數據，這些設備的登錄頁面截圖如下：

沒有看到明確的“品牌”提示，於是我們通過谷歌得搜索找到如下網頁[5]：
https://www.worldeyecam.com/blog/technical-questions/configuring-ntp-imaxcampro.html 關聯到一個叫“imaxcampro”的品牌攝像頭。

根據以上分析，我們大膽的推測5組不同的favicon.ico文件md5-hash的品牌的攝像頭設備基於某廠商設備修改而來，具體發布如下[6][7][8][9]：

針對排名最多的疑似叫“imaxcampro”的品牌攝像頭繼續進行了全球地區分布統計：

可以看出這些設備主要分布在美歐及亞洲的韓國印度等海外市場。

3. 檢測與修復

檢查方法：

由於該漏洞影響較大發布檢測工具可能導致漏洞細節的泄露，另漏洞發現者在漏洞公告當天就刪除了相關漏洞驗證程序，所以這里暫時不提供相關檢測程序。對於使用上述品牌攝像頭需要檢查相關設備安全的單位或組織，請與知道創宇404實驗室聯系。

修復方法：

針對該漏洞廠商官方在3月6日就發布了相關的漏洞公告、影響設備型號及升級方法 詳見[2]：
http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php

針對其他影響的品牌目前知道創宇404實驗室正在積極聯系相關廠商確認並協助修復相關漏洞。

4. 結論

在此次事件根據及分析過程中該漏洞被披露后某廠商公司隨即進行了安全應急響應確認了漏洞並發布了相關公告及固件升級，從13天后的全球統計數據及品牌分析標注了dahua的品牌只占有109個，從這個角度來看說明某廠商公司的應急是有顯著的效果的，同時也說明基於同一種產品不同品牌的設備影響還非常大。這個案例也反映了一個存在於IoT等設備安全現狀：廠商或品牌的合作流程里目前廣泛缺少了對應的“安全”流程，這顯然已經成為IoT設備安全一個重要的“缺陷”。

5. 參考鏈接

[0]. Seebug漏洞平台 https://www.seebug.org
[1]. 0-Day: Dahua backdoor Generation 2 and 3 https://www.seebug.org/vuldb/ssvid-92745
[2]. Dahua Security Bulletin March 6, 2017 http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php
[3]. ZoomEye 網絡空間搜索引擎 https://www.zoomeye.org/
[4]. ZoomEye 網絡空間搜索引擎搜索某廠商相關攝像頭設備https://www.zoomeye.org/search?t=host&q=app%3A"Dahua+Web+Camera+Server"
[5]. Configuring automatic time updating for iMaxCamPro DVRs and NVRs https://www.worldeyecam.com/blog/technical-questions/configuring-ntp-imaxcampro.html
[6]. CRECREDIT TECH http://crecreditcctv.com/
[7]. Hi-Focus http://hifocuscctv.com/
[8]. Honeywell International Inc. https://www.honeywell.com/
[9]. Worldeyecam, INC https://www.worldeyecam.com/about-us.html