雅礼中学计算机协会
CSA

Hikvision旁路访问旁路漏洞

发表时间:2019-08-27 13:57

海康威视IP摄像机中的访问控制旁路

全面披露

2017年9月12日

概要:

许多海康威视IP摄像机都包含一个后门,允许对任何已配置的用户帐户进行未经身份验证的模拟。至少自2014年以来,海康威视产品一直存在这一漏洞。除海康威视品牌设备外,它还影响了许多以各种品牌销售的白标相机产品。在发布时,仍有数十万个易受攻击的设备暴露在互联网上。除了获得完全管理访问权限之外,该漏洞还可用于检索所有已配置用户的纯文本密码。

风险与减缓:

该漏洞存在严重风险。由于漏洞很容易被利用,因此建议您立即升级或断开所有Hikvision产品与Internet或不受信任的网络的连接,或者至少实施仅允许可信IP地址启动与易受攻击设备的连接的网络访问控制规则。请记住,许多海康威视IP摄像机默认启用UPNP,可以自动将自己暴露在互联网上。海康威视为许多移除了后门代码的相机型号发布了固件更新。如果您的devlice有可用的更新,则应尽快安装。

请注意,许多在线销售的海康威视相机“多语言”或“英语,不可升级”实际上是修改过的中文(国内市场)相机。尝试将英文固件上载到此类摄像机中可能会导致启动循环只能通过TFTP上的原始中文固件刷新来恢复。如果您不理解本段所说的内容或者不完全确定您的相机是导出的英语模型,请不要尝试升级它。

漏洞详情:

海康威视摄像头API支持专有的HikCGI协议,该协议通过摄像头的Web界面公开URI端点。HikCGI协议处理程序检查查询字符串中是否存在名为“auth”的参数,如果该参数包含base64编码的“username:password”字符串,则HikCGI API调用将假定指定用户的idntity。密码被忽略。

实际上所有海康威视产品都附带一个名为“admin”的超级用户帐户,可以很容易地模拟。例如:

检索所有用户及其角色的列表:

    http://camera.ip/Security/users?auth=YWRtaW46MTEK

无需身份验证即可获取摄像头快照:

    http://camera.ip/onvif-http/snapshot?auth=YWRtaW46MTEK

所有其他HikCGI呼叫都可以以相同的方式进行模拟,包括添加新用户或闪存摄像头固件的呼叫。由于大多数海康威视设备仅通过模糊处理来保护固件映像,因此只需一次简单的http调用即可闪存任意代码或使数十万个连接设备永久无法使用。

最糟糕的是,可以下载摄像头配置:

    http://camera.ip/System/configurationFile?auth=YWRtaW46MTEK

遗憾的是,配置备份文件包含所有已配置用户的用户名和纯文本密码。虽然文件是加密的,但加密很容易逆转,因为海康威视选择使用静态加密密钥,该密钥源自密码“abcdefg”。其他海康威视产品具有类似的弱加密机制。

种植后门或意外错误?

做出自己的判断。

处理API请求的典型海康威视相机固件中有四个处理程序:ISAPI,PSIA,HikCGI和Genetec。这四个包含非常相似的身份验证和授权代码。四个中只有一个(HikCGI)有一段额外的代码,其逻辑非常简单,“如果存在,则跳过所有认证”。一旦理解了代码流,后门代码就显得非常突出。对于一段明显不被开发或QA团队注意到的代码几乎是不可能的,但它已存在3年以上。在海康威视领导公开评论说没有这样的后门存在以及在其他制造商的产品中报告了类似的后门之后,该漏洞开始在2017年1月/ 2月发布的固件中悄然消失。

海康威视表示,这是一个开发人员不经意间留下的调试代码。

这似乎是合理的,开发人员忘记删除一段测试代码并且多年来一直未被注意。没有人试图隐藏后门代码,这种代码在故意种植后门的情况下肯定是可以预期的。中国国内市场相机也包含后门。

时间线:

  • 2017年3月5日:后门发现。

  • 2017年3月6日:海康威视通知了后门,提供了技术细节。

  • 2017年3月7日:海康威视确认漏洞并承诺更新固件。

  • 2017年3月12日:海康威视发布了一份关于合作伙伴漏洞的备忘录。海康威视开始为受影响的设备发布固件更新。

  • 2017年5月4日:ICS-Cert发布咨询ICSA-17-124-01

  • 2017年9月11日:完整披露分发列表中发布的漏洞详细信息。

参考文献:

HikCGI协议:http://www.Hikvisioneurope.com/portal/?dir = portal /Integration%20and%20Development%20Materials/03--Protocol/01--HIKCGI%20Protocol


雅礼监控访问IP:172.45.252.*

温馨提示:你时刻都在监控之中,请注意你的行为


分享到:
咨询邮箱:2955046092@qq.com
QQ:2955046092
邮政编码:410007
社团地址:湖南省长沙市雨花区动西路428号