Testthuthoi
VIP Members
-
26/06/2018
-
31
-
35 bài viết
Làm thế nào để hack camera Hikvision? Mức độ nguy hiểm và công cụ kiểm tra
Tính từ ngày 18/09/2021 đến nay cũng gần 3 tháng Hikvision gặp sự cố lỗ hổng an ninh. Vậy câu chuyện này đã kết thúc chưa hay vẫn còn tiếp diễn? Chúng ta hãy cùng nhìn lại nhé!
Sắp Giáng sinh nên mình muốn viết đôi lời cho anh em. Ai đọc xong cảm thấy lo lắng thì có công cụ giúp bạn rà soát, còn anh em nào lạnh lẽo quá thì có thể nghiên cứu đào sâu nhé.
Qua nghiên cứu của WhiteHat rà soát ngẫu nhiên hơn 3.000 địa chỉ camera Hikvision chạy cổng 80, thì hơn 100 thiết bị có khả năng bị khai thác bởi CVE-2021-36260. Chúng ta hãy cùng nhìn lại chi tiết về CVE này.
Kỹ thuật khai thác CVE:
Lỗi Command Injection: Hiểu đơn giản là chúng ta có thể chèn được lệnh tùy ý. Cụ thể ở đây là chèn vào thẻ XML.
Có khá nhiều điều khả nghi ở đây, rằng liệu có phải blockdoor của nhà sản xuất giống như năm 2017 không? Hiện trên trang chính thức của đơn vị phát hành CVE đã khẳng định đây không phải backdoor nhưng điều khá khó hiểu là giao thức này không hề xác thực. Đồng nghĩa với việc camera có giao thức PUT /SDK/webLanguage public internet thì bất kì ai cũng có thể gọi đến. Mình đã rà soát khá nhiều API khác nhưng đều yêu cầu đăng nhập chặt chẽ. Về phía giao diện khi người dùng sử dụng liên quan đến ngôn ngữ cũng không hề sử dụng API trên.
<language>$()</language> Các lệnh Linux được viết trong $() sẽ được thực hiện.
Ví dụ: <language>$(ls -la)</language>, <language>$(cat /etc/passwd)</language>, …
Lệnh được thực thi nhưng sẽ không hiển thị trả về. Việc trả về chúng ta sẽ phải lợi dụng webLib. Cú pháp webLib /N nghĩa là sẽ public document N ra webserver.
Sơ đồ tổng quan CVE hoạt động
Sau đây là clip về camera bị chiếm quyền:
Như vậy chúng ta đã thấy được mức độ nguy hiểm của CVE trên. Gần đây các hacker đang tận dụng tối đa lỗ hổng trên để tạo BotNet. Anh em có thể xem thêm tại đây.
Hướng dẫn sử dụng công cụ kiểm tra:
- Link phần mềm kiểm tra : https://github.com/tuntin9x/CheckHKRCE
Các bạn có thể truy cập Group WhiteHat để xem clip hướng dẫn dùng phần mềm.
Sắp Giáng sinh nên mình muốn viết đôi lời cho anh em. Ai đọc xong cảm thấy lo lắng thì có công cụ giúp bạn rà soát, còn anh em nào lạnh lẽo quá thì có thể nghiên cứu đào sâu nhé.
Qua nghiên cứu của WhiteHat rà soát ngẫu nhiên hơn 3.000 địa chỉ camera Hikvision chạy cổng 80, thì hơn 100 thiết bị có khả năng bị khai thác bởi CVE-2021-36260. Chúng ta hãy cùng nhìn lại chi tiết về CVE này.
Kỹ thuật khai thác CVE:
Lỗi Command Injection: Hiểu đơn giản là chúng ta có thể chèn được lệnh tùy ý. Cụ thể ở đây là chèn vào thẻ XML.
Có khá nhiều điều khả nghi ở đây, rằng liệu có phải blockdoor của nhà sản xuất giống như năm 2017 không? Hiện trên trang chính thức của đơn vị phát hành CVE đã khẳng định đây không phải backdoor nhưng điều khá khó hiểu là giao thức này không hề xác thực. Đồng nghĩa với việc camera có giao thức PUT /SDK/webLanguage public internet thì bất kì ai cũng có thể gọi đến. Mình đã rà soát khá nhiều API khác nhưng đều yêu cầu đăng nhập chặt chẽ. Về phía giao diện khi người dùng sử dụng liên quan đến ngôn ngữ cũng không hề sử dụng API trên.
<language>$()</language> Các lệnh Linux được viết trong $() sẽ được thực hiện.
Ví dụ: <language>$(ls -la)</language>, <language>$(cat /etc/passwd)</language>, …
Lệnh được thực thi nhưng sẽ không hiển thị trả về. Việc trả về chúng ta sẽ phải lợi dụng webLib. Cú pháp webLib /N nghĩa là sẽ public document N ra webserver.
Sơ đồ tổng quan CVE hoạt động
Sau đây là clip về camera bị chiếm quyền:
Hướng dẫn sử dụng công cụ kiểm tra:
- Link phần mềm kiểm tra : https://github.com/tuntin9x/CheckHKRCE
Các bạn có thể truy cập Group WhiteHat để xem clip hướng dẫn dùng phần mềm.
Chỉnh sửa lần cuối bởi người điều hành:
