一位名为Ezequiel Fernandez的阿根廷安全研究人员在本周二(5月1日)发布了一款功能强大的新型黑客工具,可以轻松提取各种数字视频录像机(DVR)品牌的明文凭证,授予攻击者访问这些系统的权限,并随意查看录制的视频。
这个名为“getDVR_Credentials”的工具是CVE-2018-9995的概念验证(proof-of-concept,PoC),它是Fernandez在上月初发现的一个安全漏洞。
一个被人们忽视的高风险漏洞
Fernandez 发现,通过使用“Cookie:uid = admin”的Cookie标头来访问特定DVR的控制面板,DVR将以明文形式响应设备的管理员凭证。整个开发过程足够小,甚至通过推文就能够发布。
$> curl "http://{DVR_HOST_IP}:{PORT}/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"
最初,Fernandez发现CVE-2018-9995仅影响由TBK制造的DVR设备,但在本周一的更新中,他扩大了易受攻击设备的列表,涉及到其他几家供应商,这包括:Novo、CeNova、QSee、Pulnix、XVR5 in 1、Securus和Night OWL。
数万台易受攻击设备在线暴露
Fernandez 估计,易受攻击设备的数量至少有数万台。根据Shodan的扫描结果屏幕截图显示:使用“/login.rsp”进行搜索,可以找到近5.6万台在线暴露的设备;而使用“/device.rsp”来搜索,还能够发现额外的超过1万台的设备。
Fernandez还发布了一些通过利用CVE-2018-9995和他的工具获得的设备屏幕截图。根据这些屏幕截图的显示,Fernandez可以完全访问这些设备的控制面板,同时也可以观看实时录制的视频。
在过去,有一些网站会专门利用安全漏洞来聚合由被劫持的安全摄像头或者DVR录制的视频,因此Fernadez发布的这款工具可能会为类似门户网站的兴起起到推动作用。
漏洞已被确认 但尚未发现攻击活动
NewSky Security是一家专注于物联网安全的网络安全公司,该公司的首席安全研究员Ankit Anubhav表示:“我对代码进行了验证,脚本的确能够顺利地完成其所描述的内容,并在按下按钮时为各种DVR模型提供明文凭证。”
值得庆幸的是,在CVE-2018-9995被公开的这几周以来,并没有出现针对该漏洞的大规模扫描活动,即使是在Fernandez发布这个工具之后,也没有出现这种情况。
专注于汇总互联网扫描活动的GreyNoise Intelligence公司的创始人Andrew Morris表示: “我们没有看到任何人使用‘/login.rsp’或‘/device.rsp’来进行有针对性的互联网扫描。”
CVE-2018-9995会是下一个GoAhead灾难
Anubhav表示:“NewSky Security最近在一些攻击活动中发现了很多物联网设备漏洞被利用,但它们仅限于特定的厂商,如CVE-2017-17215(华为)、CVE-2017-18046(Dasan)和ChimayRed(Mikrotik)。现在,随着CVE-2018-9995的加入,人们将会看到另一个与CVE-2017-8225(GoAhead)同等水平的跨供应商物联网设备漏洞所带来的破坏。”
Anubhav提到的CVE-2017-8225是一个影响范围极广且危害性极高的漏洞,影响了由GoAhead生产的用于制造IP安全摄像头的固件,而这些固件被出售给了全球众多摄像头制造商。在过去的两年里,这些摄像头被很多物联网僵尸网络(如IoTroop,也称Reaper)用于开展攻击活动,以寻找并感染新的设备。
Anubhav认为,能够同时影响到多个不同品牌、在线暴露数量达到数以万计以及公开可用的PoC代码和易于使用的脚本程序,CVE-2018-9995势必会在接下来的一年里成为被扫描最多和利用最多的安全漏洞之一。
如果避免自己成为该漏洞的受害者
Anubhav指出:“PoC代码的使用可以很容易地被识别出来,因为它使用了模拟用户代理——'Morzilla'和'Pinux x86_128'。这存在拼写错误,而不是Mozilla和Linux x86_128。”
“不过,具有一定技能水平能力的攻击者可以修改脚本以供自己使用,因为这个漏洞的利用原理非常容易理解。”Anubhav补充说,“攻击者完全可以修改脚本中存在的用户代理字符串和其他常量。”
尽管如此,我们仍然可以检测到访问/login.rsp或/device.rsp URL路径并阻止这些路径的尝试,从而只允许可信的IP访问DVR管理接口。
“随着代码被公开,问题并不在于易受攻击的设备是否会遭到破坏,而更多的是攻击者将会在多久之后发现它。”Anubhav警告说。
网友评论