CVE-2017-8225_漏洞分析报告

近日,安天追影团队在整理网络安全事件时,发现一个影响范围极广,危害性极高的漏洞,漏洞编号为CVE-2017-8225(自定义http服务器中的预授权的身份信息/凭证泄漏)。Shodan列出了185000个易受攻击的摄像头。 “云”协议通过仅使用目标摄像头的序列号,在攻击者和摄像头之间建立明文UDP隧道(以绕过NAT和防火墙)。最终,攻击者可以暴力破解摄像头的凭据。

漏洞原理

无线网络摄像头(P2P)WIFICAM是一款中文网络摄像头,可以远程流式传输。无线网络摄像头(P2P)WIFICAM是一款整体设计不佳的摄像头,具有很多漏洞,这款摄像头未正确检查对.ini文件(包含凭据)的访问。

在这款摄像头中,一般会使用自定义的Http服务提供HTTP接口。这个HTTP服务器实际上是基于GoAhead的,并由摄像头的OEM供应商修改(导致列出的漏洞)。它允许2种认证:htdigest认证或在URI中进行身份验证(?loginuse = LOGIN&?loginpas = PASS)。攻击者可以通过在URI中提供一个空的loginuse参数和一个空的loginpas参数来绕过身份验证。

漏洞利用

该漏洞通过在对system.ini文件的访问URI中提供一个空的loginuse和一个空的loginpas来绕过身份验证并获取用户名密码。攻击者通过获取的管理员身份进行认证,进而远程控制设备漏洞。

对于此漏洞,其命令注入位于set_ftp.cgi中,将需要执行的命令放于pwd参数后构造具有恶意命令的URL,此命令就会在摄像头上执行。比如:通过nc命令,就可以建立攻击者和摄像头之间的一个反向连接,攻击者可以完全获取摄像头的shell权限,可以采取更多的恶意操作。

总结

首先,此漏洞利用起来并不复杂,只需要发送一条URL请求,在进行漏洞利用时可以绕过身份验证,这使得漏洞的利用难度大大降低。
其次,由于此漏洞对应的HTTP服务是基于GoAhead(嵌入式Web服务器)的,而大部分的IP摄像头都包含GoAhead,因此很可能会被攻击者利用来构建僵尸网络,新型的IoT僵尸网络恶意软件Persirai就是利用了这个漏洞。
可见,此漏洞影响范围极广,危害性极高。
在此,安天追影团队提醒广大网络用户,使用网络摄像机时,应当尽快修改默认的密码,及时更新自己的设备,减少被漏洞利用的机会。

参考链接

https://www.seebug.org/vuldb/ssvid-92745
https://github.com/mcw0/PoC/blob/master/dahua-backdoor-PoC.py
https://dahuawiki.com/images/Firmware