Bezpieczeństwo chińskich urządzeń NVR, DVR i kamer IP opartych o SoC HiSilicon Hi3520D i jego klony

Bezpieczeństwo chińskich urządzeń NVR, DVR i kamer IP opartych o SoC HiSilicon Hi3520D i jego klony, 5.0 out of 5 based on 1 rating
VN:F [1.9.22_1171]
VN:F [1.9.22_1171]
Rating: 5.0/5 (1 vote cast)

Do naszego serwisu często przysyłacie rozmaite urządzenia, zarówno do naprawy, jak i resetu konfiguracji w sprzęcie do którego straciliście z różnych powodów dostęp (infekcja malware, zapomniane hasło, błędy w oprogramowaniu), trafiają do niego coraz częściej mniej markowe urządzenia importowane z Chin, i sprzedawane na terenie EU (w tym urządzenia z polskiej dystrybucji) pod rozmaitymi mniej popularnymi markami, których dostawcy bardzo często znikają z rynku tuż po zakończeniu okresu gwarancji, przez co tracicie również wsparcie techniczne dla urządzeń, także w zakresie bardzo ważnych aktualizacji firmware. Lista marek jest bardzo długa… Aegpis, Clear, Clickcam, Oltec, Sunchan, Luxvision, Showtech, Powertech, Ecotronic, Partizan, Braskell, Camtronics, Overtechm, Neocam, HD iDVR, CyView, Vonnic, Sampo, KKMoon, Qvis, Vesta, ASEC, Viron (polska dystrybucja), Kenik (polska dystrybucja), Vtvision (polska dystrybucja), Winpossee, i wiele wiele innych marek dostępnych na azjatyckich serwisach zakupowych…

Jako entuzjaści bezpieczeństwa IT, przy serwisie tych urządzeń z braku dokumentacji i braku kontaktu z producentem bardzo często „przyglądamy się bliżej” tym urządzeniom, przy okazji mając możliwość ocenić jak są „bezpieczne”. W trakcie takich analiz zdarza się, że znajdujemy w tych urządzeniach dość poważne problemy luki typu 0-day, lub furtki i backdoory pozostawione przez twórców oprogramowania w tych urządzeniach, wiele z nich staje się później dowodem koncepcji (POC) na rozmaite metody przejęcia kontroli nad urządzeniem zgłaszane producentom urządzeń. Dotyczy to zarówno mniej markowych jak i znanych marek oferowanych przez rozmaite sieciówki oferujące sprzęt do systemów zabezpieczeń.

Nie tak dawno zaczęła do nas trafia seria urządzeń DVR/NVR zbudowanych na bazie HiSilicon Hi3520D H.264 Codec Processor lub klonów tego chipu (SOC). Na jego temat w sieci można znaleźć sporo informacji nt. istnienia luk prowadzących w efekcie do możliwości wykonania na nim nieautoryzowanego zdalnego kodu – wykonanie (RCE) zarówno przy użyciu interfejsu webowego, jak i pozostałych usług co umożliwia pełne przejęcie kontroli nad eksploatowanym urządzeniem. W wielu urządzeniach opartych o Hisilicon DVR / NVR z Hi3520D firmware cierpi z powodu luki zdalnego konta backdoor, czemu nie służy również fakt, że do wielu urządzeń istnieje kilka uniwersalnych haseł do konta root. Z tego powodu należy bardzo poważnie przemyśleć sposób udostępniania dostępu do nich w sieci, a już zdecydowanie nie wystawiać do nich publicznego i niekontrolowanego dostępu z internetu.

Hi3520d jest profesjonalnym SOC produkowanym od 2013 roku, przeznaczonym do wielokanałowych DVR, HD DVR i NVR HD. Jest to procesor A9 z zintegrowanym wsparciem do 8-kanałowego kodowania i dekodowania D1, lub 4-kanałowego kodowania i dekodowania 720p, z wyjściem HDMI+VGA 1080p@60 fps oraz 2-kanałami CVBS. Hi3520D integruje również silnik przetwarzania wideo, różne algorytmy kodujące / dekodujące i wielokrotne wyjścia HD. Ponadto HI3520D integruje różne interfejsy peryferyjne do spełnienia wymagań klientów w zakresie funkcjonalności, funkcji i jakości obrazu, z równoczesną redukcją kosztów produkcji. To sprawiło, że stał się on bardzo popularny i obecny w wielu rozmaitych urządzeniach, sprzedawanych na rynku pod najrozmaitszymi markami. Niestety tu na niskich kosztach kończy się jego większość zalet, a zaczyna poważne ryzyko związane z bezpieczeństwem jego używania.

Oto udokumentowane luki w zabezpieczeniach dotyczące Hi3520D o których można znaleźć informacje w sieci, i które również nam udało się zaobserwować w niektórych urządzeniach (w zależności od wersji oprogramowania):

słaby punkt ryzyko usługa  podatność możliwy wektor ataku

hasło telnet zakodowane na stałe (tylne drzwi)

wysokie

23/tcp

 (CVE-2020-24218)

każdy, kto ma dostęp do interfejsu telnet, może przejąć pełną kontrolę nad urządzeniem, nawet jeśli użytkownik ustawi odpowiednie hasła

dostęp do powłoki głównej z dowolnym kontem aplikacji

wysokie

9527/tcp

każdy, kto posiada dowolne konto aplikacji i ma dostęp do konsoli serwisowej, może podnieść uprawnienia aż do pełnej (shell) kontroli nad urządzeniem

hasło aplikacji / backdoor

nieautoryzowany dostęp do strumienia wideo RTSP

krytyczne

80/tcp, 554/tcp

(CVE-2020-24215) (CVE-2020-24216)

każdy może uzyskać dostęp do urządzenia jako administrator aplikacji, nawet jeśli użytkownik ustawił silne hasła w celu ochrony urządzenia

przepełnienie bufora we wbudowanym serwerze WWW

krytyczne

80/tcp

(CVE-2020-24217)  (CVE-2020-24214)

wykorzystując przepełnienie bufora, atakujący może uzyskać zdalne wykonanie kodu root na urządzeniu (nie wymaga uwierzytelnienia), zainstalować backdoory, złośliwe oprogramowanie, inne złośliwe rzeczy

przechodzenie katalogów

wysoki

80/tcp

 (CVE-2020-24219)

nieautoryzowany dostęp do odczytu wszystkiego (np. nagranych strumieni) na urządzeniu, pomaga również wykorzystać przepełnienie bufora

Podsumowując można napisać, że tego rodzaju tanie urządzenia IoT są koszmarem w obszarze bezpieczeństwa. Praktycznie każde testowane czy serwisowane przez nas urządzenie miało pewną poważną lub krytyczną podatność. Z punktu widzenia pentesterów zaleca się aby tego typu urządzenia były dobrze oddzielone od reszty sieci, gdyż z racji swoich braków w zabezpieczeniach nie mogą współdzielić tej samej sieci z ważnymi i poufnymi danymi przetwarzanymi w innych systemach. W wielu przypadkach nie ma niestety szansy, aby uzyskać aktualizacje z łatami na wszystkie znane luki od producentów urządzeń wykorzystujących ten SoC.

Jako dowód istnienia PoC na zakończenie pokażemy, że da się uzyskać dostęp root’a zarówno z poziomu sieci (wykorzystując protokół telnet), jak i od strony sprzętowej przy wykorzystaniu odpowiedniego złącza z pinout’em Hi3520D i interfejsu szeregowego, z wykorzystaniem boot loadera.

Z tego miejsca już bardzo krótka droga, do debugowania firmware, czy konfiguracji urządzenia, czy odkodowania/zmiany zahashowanego hasła root, które niestety w całej serii urządzeń nie jest unikalne.

W momencie publikacji większość dostawców urządzeń opartych o Hi3520D wciąż nie wydała aktualizacji oprogramowania układowego w celu usunięcia zgłoszonych luk w zabezpieczeniach. Jeśli posiadasz jedno z tych urządzeń skontaktuj się ze swoim dostawcą i poproś o poprawkę. Jeśli dostępna jest aktualizacja oprogramowania układowego, poproś dostawcę o potwierdzenie, czy wszystkie luki w zabezpieczeniach zostały naprawione. Jeśli poprawka jest niedostępna lub częściowa, upewnij się, że urządzenie znajduje się w zaufanej sieci, żadne porty nie są widoczne zewnętrznie, a reguły zapory blokują niezaufanym użytkownikom dostęp do urządzenia.

VN:F [1.9.22_1171]
Rating: 5.0/5 (1 vote cast)
VN:F [1.9.22_1171]

O redaktor

Od 2008 współtwórca WeberSystems, firmy której początki sięgają sierpnia roku 2007 kiedy to powstały plany jej utworzenia, oraz powstawała nasza pierwsza testowa wersja witryny internetowej. W tym roku powstała również nasza nazwa handlowa "WeberSystems".

Ten wpis został opublikowany w kategorii Alarmy i oznaczony tagami , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , . Dodaj zakładkę do bezpośredniego odnośnika.

Możliwość komentowania jest wyłączona.