近20万WiFi监控摄像头存在远程代码执行漏洞,可随意组建僵尸网络

  1. 云栖社区>
  2. 嘶吼>
  3. 博客>
  4. 正文

近20万WiFi监控摄像头存在远程代码执行漏洞,可随意组建僵尸网络

玄学酱 2017-09-20 14:28:00 浏览2230
展开阅读全文
本文讲的是近20万WiFi监控摄像头存在远程代码执行漏洞,可随意组建僵尸网络

近20万WiFi监控摄像头存在远程代码执行漏洞,可随意组建僵尸网络

Pierre Kim通过Full Disclosure发布的安全公告披露,影响18.5万Wi-Fi监控摄像头的安全漏洞暴露在网上,随时会被黑客和诈骗者利用。

设备主要受到以下漏洞影响:

后门账户
RSA密钥和认证
GoAhead http服务器内预授权信息泄漏(凭证)
认证RCE(远程命令执行)作为root
预授权RCE(远程命令执行)作为root
未经认证的Misc – Streaming、Misc – “Cloud”(又名僵尸网络)

定位Wi-Fi监控摄像头的安全漏洞只需要简单地运用一个搜索引擎,如Shodan,利用Kim使用的查询命令发现脆弱设备:

地址:https://www.shodan.io/search?query=GoAhead+5ccc069c403ebaf9f0171e9517f40e41

在编辑本文时已经发现204546个查询结果,据悉,该漏洞可以被网络罪犯用于组建僵尸网络,继而进行多种非法活动。

 近20万WiFi监控摄像头存在远程代码执行漏洞,可随意组建僵尸网络

最令人不安的是,Wi-Fi监控摄像头中运行的一个用来配置FTP的CGI脚本受到一个远程代码执行漏洞影响,而该漏洞在2015年就已经被发现,是的,两年前的漏洞。

想要浏览.cgi文件,攻击者也需要进行验证:

user@kali$ wget -qO- ‘http://192.168.1.107/get_params.cgi?loginuse=BAD_LOGIN&loginpas=BAD_PASS’
 var result=”Auth Failed”;
 user@kali$ wget -qO- ‘http://192.168.1.107/get_params.cgi?loginuse&loginpas’
 var result=”Auth Failed”;

根据Kim所言,访问.ini文件时的认证程序并不严谨,攻击者只要提供一个空loginuse或是在URI中提供一个空loginpas就能绕过身份验证。攻击者可以利用这一漏洞,作为root用户来运行命令或是启动一个免密码Telnet服务器。

专家在文件系统中发现一个文件夹,/system/www/pem/ck.pem,里面包含一个带有RSA私钥的苹果开发者证书,以及Web服务器凭证,通过.ini系统和-b.ini系统符号链接就可以将其泄漏给未经身份验证的攻击者。

该Wi-Fi监控摄像头运行一个未经身份认证的实时流协议(real-time streaming protocol,RTSP)服务器,这就意味着如果攻击者能够看到摄像头的TCP 端口10554,他就可以看到它所承载的所有信息。

Kim 在详细分析中解释称,

攻击者可以使用免验证的RTSP服务器在摄像头的“10554/tcp”端口上运行,随后就可以在未经验证的情况下查看流信息——user@kali$ vlc rstp://192.168.1.107:10554/tcp/av0_1以及user@kali$ vlc rstp://192.168.1.107:10554/tcp/av0_0。

另一个安全漏洞是由固件实现的云能力造成的,它是默认启用的并且预配置连接到AWS、阿里巴巴和百度中。

想要访问云,攻击者需要使用一个智能手机应用程序,如P2PWificam和Netcam360来提供目标设备的序列号。

近20万WiFi监控摄像头存在远程代码执行漏洞,可随意组建僵尸网络近20万WiFi监控摄像头存在远程代码执行漏洞,可随意组建僵尸网络

Kim解释道,

如果摄像头是在线的,UDP通道是自动建立在应用程序和摄像头之间的,使用云服务器作为中继。即使攻击者不知道凭证,攻击者和摄像头之间的UDP通道也会自动建立。注意将通道绕过NAT和防火墙是非常有用的,它允许攻击者进入摄像头内部(如果它们联网的话)并暴力破解凭证。




原文发布时间为:2017年3月10日
本文作者:小二郎
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
原文链接

网友评论

登录后评论
0/500
评论
玄学酱
+ 关注
所属团队号: 嘶吼