Lỗ hổng thực thi mã từ xa trong CCTV-DVR ảnh hưởng tới hơn 70 nhà cung cấp khác nhau.

By | 5:16 pm | 08/07/2016

Theo một nghiên cứu có tên là “The Backoff POS Trojan operation”  nó trú trọng về những chiến thuật mới mà những kẻ lừa đảo đang dùng để tấn công các nhà cung cấp thiết bị. Mục tiêu tấn công mới này sử dụng điểm yếu trong hộp DVR,  nó là thành phần trung tâm của bất kỳ hệ thống camera quan sát nào. Điều này cho phép tin tặc (hacker) đạt được 2 mục tiêu:

  1. Xác định được máy chủ của hãng nào.
  2. Xâm nhập vào trong mạng nội bộ.

1

Camera giám sát, biện pháp an ninh hàng đầu trong thế giới thực, lại là liên kết yếu nhất trong thế giới ảo. Với lỗ hổng này  tin tặc lợi dụng kỹ thuật số lại ung dung xâm nhập những thiết bị giám sát này.

Câu hỏi đặt ra 

  1. Chúng cung cấp những gì qua mạng?
  2. Chúng bị xâm nhập như thế nào?

Sử dụng dữ liệu thu thập từ các máy chủ C&C từ hơn một nghìn máy tính bị nhiễm, lập bản đồ các dịch vụ, các cổng đang mở , nhanh chóng phát hiện ra rằng rất nhiều cổng đang mở (81, 82) ngoài cổng 8000. Những cổng này là các máy chủ HTTP được xác định là “Cross Web Server”. Giao diện trang web:

2

Tất cả có tổng số hơn 30000 máy bị nhiễm, một con số khá lớn nhưng chắc rằng đây chỉ là phần nổi trong tảng băng chìm.

Mã thực thi trong CCTV-DVR ảnh hưởng tới các thiết bị của hơn 70 nhà cung cấp khác nhau. Dưới đây chúng tôi xin giới thiệu cách kiểm tra lỗ hổng:

Cách nhận biết nhà sản xuất

Để biết nhà sản xuất nào làm ra các thiết bị CCTV truy cập tới web client xem mã nguồn trang:

<script id=” gt=”” live_js=”” lt=”” script=”” src=”script/live.js” type=”text/javascript”>

File script/live.js:

<img style=”cursor:auto;” src = “logo/logo.png”>

Tiến hành tải file firmware về phân tích.

Bắt đầu tìm lỗ hổng

Tải về và giải nén được các file như hình dưới

12

Có rất nhiều tiến trình, trong đó boot.sh để thực hiện các việc liên quan tới khởi động. Boot.sh gọi một file khác là deps2.sh, file này sẽ thực thi 2 mã nhị phân là XVDRStart.hisi và  td3520a.

Các file nhị phân đang trong chế độ sửa lỗi, có nghĩa là sẽ thấy hết các ký tự đặc biệt và tên các hàm chức năng. Sau khi phân tích, sẽ thấy lỗ hổng trong HTTP server như hình sau:

13

Đọc URI có nội dung: /language/[language]/index.html

Nó sẽ tiến hành giải nén file language và kiểm tra sự tồn tại của thư mục language.

14

  • Điều này dẫn tới việc hacker có thể lợi dụng để thực thi mã từ xa.

Khai thác

Thay thế và sử dụng URI:

/language/Swedish${IFS}&&echo${IFS}$USER>test&&tar${IFS}/string.js

Kết quả: root

  • Thành công, giống như nhiều hệ thống khác, hệ thống này sử dụng BusyBox, tin tặc có thể đặt shell làm backdoor.

Mã khai thác:

Github: https://github.com/k1p0d/h264_dvr_rce

15

Danh sách 79 nhà cung cấp thiết bị có thể bị khai thác:

1 Ademco 41 Optivision
2 ATS Alarmes technolgy and ststems 42 PARA Vision
3 Area1Protection 43 Provision-ISR
4 Avio 44 Q-See
5 Black Hawk Security 45 Questek
6 Capture 46 Retail Solution Inc
7 China security systems 47 RIT Huston .com
8 Cocktail Service 48 ROD Security cameras
9 Cpsecured 49 Satvision
10 CP PLUS 50 Sav Technology
11 Digital Eye’z no website 51 Skilleye
12 Diote Service & Consulting 52 Smarteye
13 DVR Kapta 53 Superior Electrial Systems
14 ELVOX 54 TechShell
15 ET Vision 55 TechSon
16 Extra Eye 4 U 56 Technomate
17 eyemotion 57 TecVoz
18 EDS 58 TeleEye
19 Fujitron 59 Tomura
20 Full HD 1080p 60 truVue
21 Gazer 61 TVT
22 Goldeye 62 Umbrella
23 Goldmaster 63 United Video Security System, Inc
24 Grizzly 64 Universal IT Solutions
25 HD IViewer 65 US IT Express
26 Hi-View 66 U-Spy Store
27 Ipcom 67 Ventetian
28 IPOX 68 V-Gurad Security
29 IR 69 Vid8
30 ISC Illinois Security Cameras, Inc. 70 Vtek
31 JFL Alarmes 71 Vision Line
32 Lince 72 Visar
33 LOT 73 Vodotech.com
34 Lux 74 Vook
35 Lynx Security 75 Watchman
36 Magtec 76 Xrplus
37 Meriva Security 77 Yansi
38 Multistar 78 Zetec
39 Navaio 79 ZoomX
40 NoVus

 

Nguồn: http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html