Ботнеты, состоящие из уязвимых устройств интернета вещей (IoT), — суровая действительность наших дней. Хакеры постоянно ищут уязвимые хосты, чтобы усилить свою сеть. И иногда так получается, что производители «умного» железа своим бездействием непреднамеренно помогают злоумышленникам реализовать их планы. В стать мы рассмотрим именно такой случай.
Описанные в материале уязвимости были своевременно отправлены производителю, китайскому CERT и Mitre. Все найденные уязвимости получили номера CVE. Мы публикуем данную информацию в соответствии с общепринятой политикой разглашения уязвимостей. Однако вендор до сегодняшнего дня не сообщил, как собирается закрывать дыры, а под ударом находится много устройств. Поэтому в целях безопасности мы не будем приводить подробные сведения об уязвимом ПО и устройствах.
Сегодня мы в формате Security Advisory (отжатые до самой сути отчеты об обнаруженных уязвимостях, в таком формате их получают производители уязвимого компонента, Mitre и CERT) расскажем вам о трех уязвимостях в прошивках DVR/NVR (digital/network video recorders) ведущего китайского производителя, который разрабатывает прошивки для разнообразных устройств (DVR, NVR и IP-камеры).
Еще по теме: Поиск и взлом уязвимых устройств интернета вещей
Рассмотренная в статье версия прошивок работает на всевозможных DVR и NVR-устройствах, которые также производятся в Китае и распространяются по модели white label, когда на заводе устройство выпускают без маркировки, а затем производители выводят его на рынок под своим брендом. На момент написания статьи я обнаружил в открытом доступе 125 тысяч устройств, артефакты которых (версия и баннеры запущенных сервисов, фингерпринты веб-интерфейса и прочее) говорят о том, что устройство работает под управлением данной прошивки и, конечно, может иметь описанные ниже уязвимости.
Объект исследования
Как я упоминал, огромное количество устройств под управлением данной прошивки распространяется по модели white label. На фотографии ниже пример подобного устройства. Оно и стало объектом исследования.
Прошивка содержит «зашитые» учетные данные, которые могут быть использованы атакующим для привилегированного доступа к работающему устройству и кражи ценной информации, например получения видеопотока, или (классика жанра) для включения данного устройства в ботнет. Также уязвимый веб-интерфейс позволяет атакующему обойти процедуру аутентификации и получить привилегированный доступ к видеопотоку.
В новых версиях прошивки (на момент исследования — декабрь 2017 года) были обнаружены уязвимости:
- обход аутентификации в веб-приложении;
- «зашитая» учетная запись для Telnet;
- «зашитые» учетные записи для веб-панели управления и RTSP-сервера (Real Time Streaming Protocol).
Технические детали
Обход аутентификации в веб-приложении
Веб-панель, разработанная для управления устройством и видеомониторинга, имеет «особенность» (довольно распространенную среди подобных устройств), которая позволяет неавторизованному пользователю получить доступ к видеопотоку. Достаточно изменить URL
1 |
http://<IP>/<main_page_with_login_form>.html |
на что-то подобное:
1 |
http://<IP>/<video_stream>.html |
Эта уязвимость в веб-приложении возникает из-за того, что отсутствуют проверки пользовательских прав, — судя по обновленному OWASP TOP 10 IoT Vulnerabilities, это достаточно тривиальная проблема.
Оценка уязвимости
- CVSS v3
- Base Score: 7.5
- Vector: (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:M/A:N)
Зашитые учетные данные для Telnet
Файлы уязвимой прошивки находятся в открытом доступе и не защищены от анализа содержимого. В результате любой желающий может распаковать образ прошивки. Это один из способов, который используют злоумышленники для пополнения своих ботнетов. Злодеи непрерывно следят за обновлениями прошивок на сайте производителя; они успешно распаковывают образ прошивки и приступают к изучению ее содержимого. В случае когда прошивка содержит «зашитые» учетные данные, хакеры включают их в брут-листы своего сканера.
В прошивке, которую мы анализировали, обнаружились учетные данные для Telnet-подключения. В файле etc/passwd есть следующая строка:
1 |
root:<Unix_md5_string>:0:0:root:/:/bin/sh |
Эта строка содержит учетные данные привилегированного пользователя Telnet, которые как ни странно владелец устройства не может изменить.
Оценка уязвимости
- CVSS v3
- Base Score: 10
- Vector: (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Зашитые учетные данные для веб-сервера и RSTP-сервера
Используя описанную выше учетную запись для Telnet, атакующий может получить доступ к следующим файлам, которые содержат все имеющиеся пользовательские учетные записи для веб-панели и RSTP-сервера:
1 2 |
<temporary_dir>/Config1 <temporary_dir>/Config2 |
Также, эти файлы содержат «зашитые» учетные данные (бэкдор):
1 |
<default_username>:<password_in_clear_text> |
В результате злоумышленник может получить доступ к веб-панели и видеопотоку.
Оценка уязвимости
- CVSS v3
- Base Score: 7.5
- Vector: (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:M/A:N)
Как устранить описанные уязвимости
- Запретить любой доступ к веб-панели, используя белый список доверенных IP-адресов.
- Скрыть работающее устройство за NAT роутера. Если это невозможно, то нужно отключить от интернета (изолировать) уязвимое устройство.
- Если требуется получить доступ к видеопотоку через интернет, то лучше использовать соединение с вендорским облаком (если девайс поддерживает такую возможность).
Текущий статус отчета
-
- 01/12/2017 — отчет передан производителю.
- 11/01/2018 — производитель подтвердил, что отчет получен.
- 14/06/2018 — отчет передан китайскому CERT (National Computer network Emergency Response technical Team / Coordination Center of China) и Mitre.
Еще по теме: Защита IP-камер