【漏洞预警】九安视频监控设备疑似存在“后门”等多个漏洞

liudao  1916天前
近日,白帽汇安全研究院发现九安(闭路电视监控系统)视频监控设备的一个0day漏洞。利用该漏洞可以在未登录情况下查看实时监控截图。并且该设备存在一个后门,并被黑产非法利用,在网络上进行售卖。该后门可直接获得系统root权限,利用比较简单。危害等级较高。通过该设备可观看监控录像。目前发现在一些论坛上已经有了批量利用的自动化工具。该工具可批量检测漏洞,并下载执行远程服务器上的可执行文件。该设备还存在一个登录绕过漏洞,可以绕过用户名密码验证并查看监控视频。

1.png

概况

全球范围内分布情况(仅为分布情况,非漏洞影响情况)目前FOFA系统最新数据(一年内数据)显示全球范围内共有 102471个开放服务。美国使用数量最多,共有13977台,意大利第二,共有8430台,越南第三,共有6572台,德国第四,共有6073台。全球范围内分布情况(仅为分布情况,非漏洞影响情况)

2.png

全球范围内分布情况(仅为分布情况,非漏洞影响情况)

中国大陆地区辽宁省使用用数量最多,共有924台;山东第二,共有381台,河北省第三,共有284台,河南省第四,共有264台,吉林省第五,共有199台。

3.png

中国大陆范围内网站分布情况(仅为分布情况,非漏洞影响情况)

危害等级

高危

漏洞分析

系统后门

网上已经有了该漏洞的利用工具,并在一些论坛进行传播,利用该工具可批量扫描设备是否存在该后门,并从远程服务器下载脚本并执行。

图片.png

该工具包从今年1月份就在网络上进行传播,里面有攻击者扫描过的全网的ip列表。

图片.png

经过统计,该设备的服务90%为60001端口,访问该端口可以看到web登陆界面。通过分析该工具的流量,发现该后门利用极其简单,在ip后面加上/shell?{cmd}即可执行任意命令。并且权限为root。

图片.png

可以看到,该工具的请求通过url解码为/shell?uname -a。

图片.png

复现情况如下。

图片.png

到目前为止,发现该漏洞已经被某些人利用,下载过脚本并执行了。

图片.png

图片.png

未授权访问漏洞

在分析后门的时候,白帽汇安全研究院还发现了一个0day漏洞,利用该漏洞可以不用登陆即可查看实时监控截图。
payload: /cgi-bin/snapshot.cgi?chn=1。chn为摄像头序号。

4.png

登录绕过漏洞

这个漏洞网上已经公开了,该漏洞原理是由于利用JS来控制页面的访问权限,查看源码,发现cookie中只要存在dvr_camcnt,dvr_usr,dvr_pwd三个值就可以访问view2.html,即摄像头控制台界面。否则跳到Index.html。

7.png

修改cookie,访问view2.html。

9.png

POC

目前FOFA客户端平台已经更新该漏洞的检测POC。

5.png

qq.pngww.png

修复建议

白帽汇安全研究院建议使用该设备的用户禁止向公网开放。后续问题请及时关注白帽汇安全研究院。


参考:http://www.zerokeeper.com/web-security/internet-eyes-webcam.html

最新评论

fuck  :  神文章,这些破摄像头都是多少年前玩的了
1916天前 回复
f**k  :  影响量很大
1916天前 回复
fuckk  :  影响量很大
1916天前 回复
**ck  :  666
1916天前 回复
fuck  :  影响量很大
1916天前 回复
ffffffffuck  :  玩儿过了拿出来洗一洗
1916天前 回复
wtf  :  0day漏洞?补丁都发布了多少年了。知道啥是0day漏洞不?
1915天前 回复
f**k  :  认真看文章,没有说全是0day
1914天前 回复
f**k  :  认真看文章,没有说全是0day
1914天前 回复
昵称
邮箱
提交评论