首页 > 资讯 > 品牌焦点 > 正文

揭秘:海康威视“棱镜门”,实测显真相

文章来源:新浪科技
字体:
发布时间:2015-03-01 11:32:16

 ——不是弱密码,是高危级别缓冲区溢出漏洞

羊年春晚大幕刚落,信息安全大戏即开唱。这两天新闻媒体铺天盖地报道的海康设备被境外IP地址控制事件(堪称“棱镜门”事件第二),让挣扎于年后综合症的国人们一下子又热闹开了。“棱镜门”这个词再次进入大众视野。

事件起源于江苏公安厅下发的一份名为《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》。文件指出海康威视的监控设备存在严重安全隐患,部分设备已经被境外IP地址控制。

实际上,早在2014年11月下旬,全球知名专业安全网站Security Street Rapid(https://community.rapid7.com/community/metasploit/blog/2014/11/19)就爆出了海康威视监控设备3个RTSP相关的致命安全漏洞,CVE编号为:CVE-2014-4878、CVE-2014-4879和CVE-2014-4880。这三个漏洞严重吗?

通俗的讲:只要知道海康威视相关设备的IP地址,用任意电脑执行一小段攻击脚本,就可以完全让其瘫痪,或者将其接管,甚至让你在其设备上畅所欲为。这三个漏洞与海康威视解释的弱密码原因没有任何关系。

而自此事曝光一直到江苏电文被传出,海康才于15年2月28日在官方微信发布 《海康威视针对“设备安全”的说明》,而且把问题归结于用户密码管理不当造成,解释这几个漏洞是因为设备登录密码太简单导致黑客登录攻击。

为了说明此解释有多么弱爆,笔者亲自用海康设备做了验证。通过实际测试,简单的攻击脚本就可以使其设备服务down机。如果攻击者通过脚本进行循环攻击,那该设备即便重启,也无法恢复服务。

实际测试结果如下:

1、海康DVR设备(2014年最新款,型号:HIK/DS-7804HGH-SNH/-AF-DVR-II-A/4-1):0d36ad44458902f5c696d89558c24e59.jpg 

    DVR V3.0.4 Build140923:

2ae6f946695cafc223f447ce766ce3a5.jpg

    经过测试,海康的DVR最新款2个漏洞中招:

d4f5d37a79119bec292fad99f71873c7.jpg

7159c7701c92a3c21fda5c689ad83061.jpg

    2、海康NVR设备(2014年最新款,型号:DS-7108N-SN/P):

    NVR设备版本信息:

651b268a4b2210027e6fc5eecdbb95fb.jpg

3b90bcaf3c287a2bbcdaf35f9f564aa2.jpg

     经过测试,海康的NVR最新款3个漏洞全部中招:

71fbfaca1d66eba13c45d538b71a90e6.jpg

真正的原因分析:

整个攻击过程根本不涉及被攻击对象的密码口令,从何谈口令是简单还复杂!这三个漏洞都是由于海康威视监控设备对RTSP(实时流传输协议)请求处理不当导致的高危级别的缓冲区溢出漏洞。通过该漏洞,攻击者可以对设备进行DoS(拒绝服务)攻击,导致监控设备的视频流异常,更严重的是,当攻击者通过该漏洞植入代码时,甚至可能直接获取设备的最高权限,从而完全控制其在网络上服务的监控设备,过去好莱坞大片中的很多犯罪场景就可以变成现实了……

如果你还想了解更专业的,耐心听小编来解释计算机执行指令的机制。计算机执行的指令都在内存中,本次爆出的3个漏洞都因海康威视(Hikivision)监控设备在处理RTSP请求时,使用了固定的内存缓冲区(往往是固定长度的数组)来接收用户输入,从而当用户发送一个超过其可存储长度的数据来请求时,请求数据覆盖了固定数组以外的内存空间,最终导致服务端缓冲区溢出。因为是溢出的内存空间被覆盖,因此当覆盖的部分是攻击者写的恶意代码时,恶意代码就可以通过溢出来改变服务端的程序执行流程,从而执行任意代码来操控设备。示意图如下:

88c7509d6a86c91e56b5a7cc3483c609.jpg

所以,对于海康威视2月28日的官方解释,只要对网络安全稍微有所了解的人,都能将其戳穿。这样的解释糊弄单个用户还可以接受,但在官方渠道上做此番澄清,把问题踢回给用户,着实令人瞠目结舌。笔者建议有海康威视监控设备的用户,非常有必要做反攻击验证,或者让厂商协助排查,否则安全隐患是极大的,一旦被利用,后果不堪设想。

    涉及的海康设备范围:

打开了554端口(RTSP实时流媒体协议)的所有海康设备。

    三个漏洞的描述:

CVE-2014-4878:根据报告描述,其漏洞成因是在Hikvision的监控设备处理RTSP请求时,使用了固定的缓冲区接受body,当攻击者发送一个较大的body时,可能会产生溢出,致使服务crash等。

CVE-2014-4879:RTSP对请求头的处理同样也使用了固定大小的缓冲区,攻击者可以构造一个足够长的头部来填满缓冲区,产生溢出。

CVE-2014-4880:RTSP在对事务对基础认证头进行处理的时候,同样由于使用了固定的缓冲区,导致攻击者可通过构造来进行溢出,甚至执行任意命令。

RTSP具体信息都可以查看RFC描述:http://www.ietf.org/rfc/rfc2326.txt

 

 

 

 

免责申明:本文为网友投稿或企业宣传商业资讯,仅供用户参考,如用户将之作为消费行为参考,品牌讯敬告用户需审慎决定;凡是注明来源为“品牌讯”的稿件均为本站独家首发,转载必须注明来源,否则本站将追究其法律责任;本站所有来源非“品牌讯”的稿件均是为了 网站内容公益传播,如有不实,或者侵犯了您的权益,请联系QQ:26441988,我们经核实后及时处理。