Kolejny backdoor w urządzeniach Dahua częściowo załatany, ale co z innymi IoT i urządzeniami innych popularnych marek jak Hikvision, DNR, BCS które wciąż są podatne na ataki ?

Kolejny backdoor w urządzeniach Dahua częściowo załatany, ale co z innymi IoT i urządzeniami innych popularnych marek jak Hikvision, DNR, BCS które wciąż są podatne na ataki ?, 5.0 out of 5 based on 1 rating
VN:F [1.9.22_1171]
VN:F [1.9.22_1171]
Rating: 5.0/5 (1 vote cast)

Zaledwie kilka dni temu po świecie niezależnych badaczy bezpieczeństwa IoT rozeszła się niepokojąca informacja o odkryciu kolejnego backdoora dotyczącego kamer i rejestratorów Dahua podłączonych do Internetu produkowanych przez Dahua Technologies. Backdoor został odkryty przez użytkownika grupy Seclist o nicku Bashis który w swojej publikacji Dahua backdoor proof-of-concept  twierdził, że napisany prze niego kod dahua-backdoor.py wykorzystujący wspomnianą lukę umożliwia zdalne  penetrowanie urządzeń i baz danych zawierających poświadczenia użytkowników i hashe haseł.

$ ./dahua-backdoor.py --rhost 192.168.5.2

[*] [Dahua backdoor Generation 2 & 3 (2017 bashis <mcw noemail eu>)]

[i] Remote target IP: 192.168.5.2
[i] Remote target PORT: 80
[>] Checking for backdoor version
[<] 200 OK
[!] Generation 2 found
[i] Chosing Admin Login: 888888, PWD hash: 4WzwxXxM
[>] Requesting our session ID
[<] 200 OK
[>] Logging in
[<] 200 OK
{ "id" : 10000, "params" : null, "result" : true, "session" : 100385023 }

[>] Logging out
[<] 200 OK

[*] All done...
$

$ ./dahua-backdoor.py --rhost 192.168.5.3

[*] [Dahua backdoor Generation 2 & 3 (2017 bashis <mcw noemail eu>)]

[i] Remote target IP: 192.168.5.3
[i] Remote target PORT: 80
[>] Checking for backdoor version
[<] 200 OK
[!] Generation 3 Found
[i] Choosing Admin Login: admin, Auth: 27
[>] Requesting our session ID
[<] 200 OK
[i] Downloaded MD5 hash: 94DB0778856B11C0D0F5455CCC0CE074
[i] Random value to encrypt with: 1958557123
[i] Built password: admin:1958557123:94DB0778856B11C0D0F5455CCC0CE074
[i] MD5 generated password: 2A5F4F7E1BB6F0EA6381E4595651A79E
[>] Logging in
[<] 200 OK
{ "id" : 10000, "params" : null, "result" : true, "session" : 1175887285 }

[>] Logging out
[<] 200 OK

[*] All done...
$

[ETX]

Badacz „Bashis” twierdzi, że firma Dahua „poprosiła” go o usunięcie opublikowanego dowodu, nie zgodził się jednak ponieważ stwierdził, że jest to wystarczające uzasadnienie na istnienie pełnoprawnego backdoora o którym firma wiedziała, jednocześnie dając jej 30 dni na pozbycie się tylnej furtki.

Niezależny badacz bezpieczeństwa Graham Cluley wkrótce po tym udostępnił swój proof-of-concept który również poświadczył możliwość zautomatyzowania ataków na kamery IP oraz rejestratory wyprodukowane przez Dahua Technology. Informacja ta została również szybko zweryfikowana w związku z oficjalnym komunikatem firmy Dahua podanym do publicznej wiadomości. Z oficjalnym komunikatem oraz biuletynem bezpieczeństwa można zapoznać się tutaj: Dahua Technology Vulnerability oraz tutaj : Dahua Security Bulletin 030617 Jeśli producent nie poczyni w zakresie publikacji żadnych kroków kod źródłowy exploita zostanie udostępniony 5 kwietnia do wiadomości publicznej.

Wg. oficjalnej opublikowanej listy podatność na pewno dotyczy m.in modeli:
DH-IPC-HDW23A0RN-ZS
DH-IPC-HDBW23A0RN-ZS
DH-IPC-HDBW13A0SN
DH-IPC-HDW13A0SN
DH-IPC-HFW13A0SN-W
DH-IPC-HDBW13A0SN
DH-IPC-HDW13A0SN
DH-IPC-HFW13A0SN-W
DHI-HCVR51A04HE-S3
DHI-HCVR51A08HE-S3
DHI-HCVR58A32S-S2

Nie jest to pierwsza wpadka firmy Dahua, poprzednia dotyczyła Dahua DVR Authentication Bypass – CVE-2013-6117 która w Polsce dotyczyła w szczególniej mierze bardzo popularnych z uwagi na niskie ceny urządzeń marki BCS. Co ciekawe główny importer tej marki w Polsce dopiero nie dawno opublikował na swojej stronie zestaw narzędzi pozwalających wyczyścić zainfekowane urządzenia z malware wykorzystującego tą lukę – zestaw narzędzi BCS Repair Tool można pobrać również z naszego supportu.

W podobnym czasie na innej grupie Ipcamtalk pojawiła się kolejna informacja tym razem od innego użytkownika o nicku Montcrypto o backdorach w urządzeniach HIKVision – w przypadku nie podjęcia działań przez ww. firmę szczegóły dotyczące backdora zostaną opublikowane 20 marca. W przypadku tych urządzeń jest to już kolejny istoty backdoor zaraz po tym który dotyczył botnetu Mirai którego kod źródłowy Mirai wkrótce po ujawnieniu botnetu został opublikowany w sieci. Dotyczy to również OEMowych partnerów HiKVision korzystających z rozwiązań programowych tej firmy.

Najbardziej niepokojące w tym wszystkim jest to, że wciąż istnieje wiele urządzeń wspomnianych marek, i wielu innych których firmware wciąż nie został załatany.  Z własnych obserwacji i zgłoszeń od naszych klientów widzimy, że zjawisko infekcji IoT narasta i staje się coraz bardziej realnym problemem i zagrożeniem, niestety świadomość firm i osób instalujących te urządzenia które niejednokrotnie nie posiadają stosownej wiedzy nt. infrastruktury IT i jej zabezpieczeń umożliwia przeprowadzanie ataków i infekcji obejmujących obszar urządzeń CCTV Security i IoT.

VN:F [1.9.22_1171]
Rating: 5.0/5 (1 vote cast)
VN:F [1.9.22_1171]

O redaktor

Od 2008 współtwórca WeberSystems, firmy której początki sięgają sierpnia roku 2007 kiedy to powstały plany jej utworzenia, oraz powstawała nasza pierwsza testowa wersja witryny internetowej. W tym roku powstała również nasza nazwa handlowa "WeberSystems". Firma P.W.PARTNER M.WEBER powstała rok później w 2008 roku. Więcej informacji na moim

Ten wpis został opublikowany w kategorii Inteligentny dom, Monitoring, Monitoring wizyjny, Systemy telewizji dozorowej, Telekomunikacja i oznaczony tagami , , , , , , , , , , , , . Dodaj zakładkę do bezpośredniego odnośnika.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*