【技术分享】海康威视网络摄像机远程访问发现XXE漏洞
当我想从我的Elisa Live 网络摄像机上获取管理员权限时,却在后台系统里发现了XXE漏洞。相机的制造商是网络摄像机市场的巨头海康威视。
随着物联网技术的发展,关于其安全性的隐患也逐渐被暴露出来,简单再google上进行一下搜索,就可发现近年间相关领域发布了数百篇论文和白皮书。
大约两个月以前的一个周末,我想研究一下网络摄像机,于是在亚马逊上买了一个比较便宜的,这个摄相机没有任何已知的安全漏洞。上面写着Elisa Live 1280×720像素高清网络摄像机。
我会尽量用简洁的话语来写这篇文章,所以我会将重点放在XXE的发现过程上,我不会写我研究相机的每个详细步骤,只写和发现XXE有关的部分。
关于摄像机
这是一台由海康威视贴牌生产的RC8221 型号摄像机,海康威视公司是一家总资产达200亿美元的公司,是监控产品行业的市场领导者,约占整个市场的20%份额。Elisa是一家芬兰公司,为用户查看摄像机的实时数据提供云服务。
渐渐地我发现,如果不通过他们的云服务平台,你就不能访问摄像机。换句话说,摄像机的数据要被上传到他们的后台系统中然后你再通过网页或者手机应用访问这些数据。
初步尝试
我通过它的以太网接口把摄像机连接到我的实验室,并且开始拦截网络流量。如果你曾经想做与物联网设备有关的实验,我强烈建议不要急于把设备连接进互联网。一些设备安装了旧的或者不安全的固件,我们需要首先检查是否有更新。
Wireshark泄露了两个有趣的未加密调用,如【图-1】:
图1:向www.hik-online.com发出的POST请求
这是一个向 www.hik-online.com网站发出的Post请求,看起来是一个base 64编码后的密码,我们把它记录下来稍后分析。另一个是一个从amazon S3存储中下载更新的Get请求,如【图2】。我们可以从这里下载固件。
图2: 从S3中下载更新的GET 请求
(不能)访问我的摄像机
Nmap快速扫描可以显示一些开放端口,包括一个带有登陆页面的网页服务。我用一些海康威视常用的默认用户名和密码尝试登陆,但很快就知道这样是没用的。验证证书的控制器受http摘要认证机制保护,这是这个固件独有的特点。
利用binwalk和hiktools[1]分析固件,我提取到了一些有趣的信息,但其中并没有任何关于http认证的信息。Root密码是hiklinux,以下是/etc/passwd的内容,如【图3】,仅供参考。
root:ToCOv8qxP13qs:0:0:root:/root/:/bin/sh
图3:/etc/passwd的内容
SSH的端口是关闭的,所有我没法利用这个弱密码,但是我注意到,我在升级之前进行的第一次扫描的时候SSH的端口是没关闭的。
访问摄像机
回到第一个POST请求中我们可以看到,它包括一个Base64编码的字符串。但解码之后是一堆乱码。密钥就在固件的某个地方,只是需要我们去寻找。我没有核实是否这个密码是摄像机用来对服务器进行身份验证的,或者是摄像机启动后提交给海康威视的密码。
我不得不承认对自己的进展有点灰心,花了两天时间基本没有什么发现。我便浏览了海康威视的网站,结果发现了这个:
请将安全性能缺陷发送至HSRC@hikvision.com,我们将尽快与您联系。为了保护用户和企业信息安全,请不要公开这些问题。我们将根据海康威视安全漏洞评估对您进行奖励。
这是一个漏洞悬赏,让我们试试POST请求。
由于这是一个XML的post请求,我首先就尝试用SYSTEM entity来请求本地或外部文件,如【图4】。本地文件读取并没有凑效,所以我创建了一个VPS等待传入连接,发现成功了,如【图5】:
<
我们正日益依赖于手机,在上面存储敏感文件,不管是个人信息还是商业秘密,并使用手机支付来购买商品,因此安全性显得无比重要。
一家在英国和以色列均设有机构的公司 Sirin Labs 发布了一款安全手机。它的价格是9500英镑,约1.25万美金,8万元人民币。从这台5.5英寸屏幕的手机主打的安全功能上,可以看出移动安全行业和移动设备入侵的未来方向。
其最有趣的一个特性是该设备背后的一个开关。在打开时, Solarin会进入安全模式,并加密所有短信消息。有一个"看门人"服务能够监控应用,并在出现问题时发出警报。
手机使用芯片到芯片的256位AES加密。安全模式还会禁用GPS芯片、蓝牙和Wi-Fi等所有无线通信设备。
另一个特性与通信录中的联系人有关。如果你想通过这台手机给人打电话或者发短信,就必须使用Android或iOS端的 Sercure Comm 应用。
这台手机的高价格,外加这些增加的安全措施,展示了如何在当今,乃至接下来的几年里拦截入侵者所需要的安全手段。
亚历克斯・马尼亚 (Alex Manea) 是黑莓公司BlackBerry Security的主管,他对媒体表示,完全不保护手机就像在出门时不关门。如今我们使用移动设备处理敏感信息的情景比以往任何时候都要多,比如处理所有的文件、联系人和银行记录。
"随着手机进一步发展,潜在漏洞也会随之进化。因此对于安全设备和服务的需求又成为了一个热门话题。"
移动商务平台公司 Branding Brand 信息安全部门主管亚历克斯・克莱因认为,目前强调移动安全问题的时机恰到好处。
"智能手机成为了人们自我的延伸,并渗透进了我们的日常生活中。出于同样的原因,我们在家里安装安全系统,寻找能够抵挡攻击的移动设备。能够访问敏感和高价值信息的人们在信息被泄露之后承受的风险更大,因此他们寻找满足更高安全和隐私要求的智能手机。"
尽管Solarin这样的手机显示了什么样的方法可以防止黑客,但手机本身并不是完美的解决方案。克莱因称,他对存在指纹识别器这一情况感到十分惊讶,因为生物认证技术长期以来都被认为效果不佳。
Solarin的安全平台也依赖于几个第三方供应商,包括Zimperium和KoolSpan,这可能导致一些人根本不会考虑使用这款手机。此外,克莱因称这款手机使用存在过热问题的骁龙810处理器,如果手机过热,所有数据丢失,那么一切安全措施都将直接归零。
因此,其他手机厂商的安全手机也值得考虑。比如许多使用KNOX加密平台的三星手机,还有在此领域的领先者之一,黑莓。在黑莓PRIV智能手机上,有一个叫做DTEK的应用能够给设备打出安全分数,帮助用户监控接入点。该设备上的黑莓Certicom密码库能够帮助设备防御暴力攻击。此外,黑莓的这款手机无锁版的价格为550美元。
不过,即使拥有了以上所有选项,有一件事仍旧是肯定的:要尽快对手机安全采取一些激进的措施。Solarin手机要求其他人通过安全的应用程序与你沟通的这一事实已经昭示了趋势:有些用户存在对这种简洁性的需求。
也就是说,该手机对于某些没有时间精力,或是懒得去设置自已手机上的安全功能的人而言,是有吸引力的。当需要它时,只需要按一下开关,而不需要花太多功夫来学习新东西。
如果使用昂贵的手机成为科技新贵或高管的共识,上述的一些安全措施可能会被复杂化到很多年以前的状态,更别说使用VPN和复杂密码了。希望那一天永远不要到来。
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论