欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

中国深圳一家厂商的智能摄像头曝出漏洞:至少 17.5 万设备可被远程攻击

来源:本站整理 作者:佚名 时间:2017-08-03 TAG: 我要投稿

安全企业 Bitdefender 和 Checkmarx 均发布报告表示,安全研究员在多个常用智能摄像头中发现远程侵入漏洞,涉及 VStarcam、Loftek、以及 Neo IP camera。其中的 Neo IP camera 就是中国深圳厂商丽鸥电子 (Neo Electronics)生产的智能摄像头设备,此次安全企业提供的报告中具体列出了丽鸥电子 的两款产品:iDoorbell 以及 Neo Coolcam NIP-22 两种摄像头均存在缓冲区溢出问题,受影响的设备可以被攻击者远程入侵,执行任意代码并彻底接管。

关键发现
深圳丽欧电子是家中国企业,他们提供智能传感器、报警器和摄像头。目前其产品中 iDoorbell 和 NIP-22 摄像头存在几个缓冲区溢出漏洞(部分出现在身份验证之前)。而其他摄像头也都在使用相同的软件,因此研究者认为深圳丽欧电子的其他产品中可能也有存在问题的产品,而不仅是 iDoorbell 以及 Neo Coolcam NIP-22 摄像头。Bitdefender 使用 Shodan 扫描后,认为大概有 175000 个设备所使用的 UPnP上存在开放端口,可被攻击者利用。

Checkmarx 的研究员还分析了几组 Loftek 和 VStarcam 的智能摄像头,发现了其他的安全漏洞以及之前就曝出的安全问题。他们在 Loftek CXS 2200 摄像头中,发现了 CSRF 漏洞 ——攻击者可以利用这个漏洞添加新的管理员账号,还有可引发 DoS 的 SSRF 漏洞,执行任意代码的 XSS 漏洞和文件泄露漏洞;而在 VStarcam C7837WIP 摄像头中,研究员发现了存储式 XSS,开放重定向,强制重置等问题。这些摄像头都可以直接处理 HTTP 响应,这会提升如XSS攻击、页面劫持、用户信息修改、缓存中毒等问题发生的可能性。
Checkmarx 指出一部分厂商制造的摄像头比较简陋,只是使用了非常简单的硬件和软件。调查表明超过120万设备是可能存在漏洞的。
我们的初次扫描结果出来后,我们发现只要你的摄像头是能够联网的,你就处在风险之中。恶意用户可以利用你的设备追踪你的每日生活,知道你是在家还是外出了。他们能窃取你的邮箱信息,获取你的无线连接,取得其他设备的权限,监听你的对话。
—— Checkmarx 在报告中写道
技术分析
深圳丽欧电子的两款摄像头出现的问题可能遭受两种类型的攻击,第一种是来自摄像头连接的 web 服务,第二种则来自实时流协议 RSTP 服务。
web 服务 Exp

HTTP服务中出现的漏洞可以通过登陆处理用户名和密码的错误方式触发。用户在进行身份验证的时候,他们会在 GET 请求中传递 “ http:///?usr=&pwd=
”的身份凭证。web 认证模块试图解析这些值的时候,“libs_parsedata”会复制栈上的两个参数的内容而没有检查实际的存储容量,所以会引发越界写入的问题。

由于启用了完整的ASLR机制,加载二进制文件的地址总是随机的。但是,由于二进制本身不是PIE(位置独立可执行程序是一种保护技术,允许二进制及其所有依赖在每次执行应用程序时都会在虚拟内存中被加载到随机位置),也就是说它每次还是会加载在同一地址上。

在模拟攻击中,研究员使用两个溢出来调用“系统”函数,并指定了要执行的命令。为此,他们会使用位于地址 0x0007EDD8 的 ROP 工具。这会将栈指针的地址改为 R0,之后调用系统函数。跳转到 ROP 中,栈指针就会指向返回地址所在之处。

为了执行命令,研究员首先需要用 0x0007EDD8 覆盖返回地址,并在该地址之后写入命令。通过 username 参数的溢出,可以覆盖栈上的所有内容,包括返回值,之后可以使用这 204 字节的空间写入命令。随后,可以使用密码这部分的溢出来覆盖 328 字节的返回地址。由于字符串必须是以 null 终止的,所以该字节被自动附加,将小工具的地址留在栈上。最后的 payload 看起来应当如下所示:
GET /?usr=204bytes>&pwd=328bytes>0xD8ED07> HTTP/1.1
这段命令不能包含 null ,’&’字符或空的空间。但这里的限制可以使用内部字段分隔符 ${IFS} 来轻松实现。代码执行之后,服务崩溃,但保护进程会继续重启摄像头。由于文件系统是以读写方式挂载的,所以可以通过 TFTP 下载二进制文件并修改 rcS 文件以在启动时保持持久性。
摄像头的 RSTP 服务 EXP

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载