俄安全专家公布海思芯片后门的利用代码(华为已回复)

tianqi1  1512天前

22.jpg

更新:2020年2月6日,华为发表申明(https://www.huawei.com/cn/psirt/security-notices/huawei-sn-20200205-01-HiSilicon-cn?from=timeline),表示这个漏洞是个误会,已和发现者进行了沟通,漏洞和海思芯片无关。

近期,俄罗斯安全专家Vladislav Yarmak公布了在海思芯片中发现的后门的利用详情,出于信任原因,他在公布之前没有向供应商报告。

据称,利用后门可以让攻击者获得目标设备中root权限的shell,完全控制住设备。该专家随后还针对该漏洞发布了相关PoC代码。

该专家在之前并没有向海思公司透露这一漏洞,原因是他对该公司在漏洞处理方面缺乏信任。

海思是一家总部位于深圳的中国半导体公司,隶属于华为,也是中国最大的集成电路设计公司,其芯片被全球数以百万计的物联网设备所使用,包括安全摄像头、DVR和NVR。

33.png

在以前,其他安全专家也曾曝出过海思芯片中的后门。

根据安全人员的说法,针对最新版本的硬件,攻击者只需简单的手段就可以获得root权限的shell。

最新的固件版本虽然默认禁用了Telnet访问和调试端口(9527/tcp),但打开了9530/tcp端口,攻击者可以利用这个端口发送一个特殊的命令来启动Telnet守护进程,并使用某些固定密码([1]、[2]、[3])访问shell。

根据Yarmak发布的文章,最新的固件版本开放了9530/tcp端口,用于监听特殊命令,不过需要通过挑战响应验证身份。

44.png

“很明显,这些年来,海思不愿意或没有能力为同类型的后门进行及时修复,我认为这个后门是故意出现的。”

Yarmak进一步表示,可以通过向包含HiSilicon芯片设备的9530端口发送一系列特殊命令来利用后门。这些命令可让攻击者在目标设备上启用Telnet服务,接着就可以使用以下六个默认Telnet凭据之一进行登录,获得一个root权限的shell。

55.png

后门激活流程如下:

1.客户端连接目标设备的9530端口,发送字符串OpenTelnet:OpenOnce,该字符串前面要加上指示消息长度的字节。该步骤对于以前版本的后门利用是最后一步。如果此步骤后没有响应,则telneted服务可能已经运行。

2.服务端(指设备)会回复randNum:XXXXXXXX,其中XXXXXXXX是8位随机数字。

3.客户端使用预共享密钥作为加密密钥,配合随机数进行以下步骤。

4.客户端利用加密密钥加密随机数字,附加在randNum:之后,再在头部添加总长度的字节,然后发送给服务端。

5.服务端从/mnt/custom/TelnetOEMPasswd加载预共享密钥,或直接使用默认密钥2wj9fsa2

6.服务端对随机数进行加密,并验证结果是否与客户端发送过来是否一样。验证成功回复verify:OK,否则回复verify:ERROR

7.客户端加密字符串Telnet:OpenOnce,前面带上总长度字节,CMD:字符串,然后发送给服务端。

8.服务端解密出接受到的命令。如果得到的结果等于字符串Telnet:OpenOnce,就会回复Open:OK,开启调试端口9527,启动telnet服务。

PoC

代码链接:https://github.com/Snawoot/hisilicon-dvr-telnet

用法:./hs-dvr-telnet HOST PSK

其中PSK默认是2wj9fsa2

示例用法

$ telnet 198.51.100.23
Trying 198.51.100.23...
telnet: Unable to connect to remote host: Connection refused
$ ./hs-dvr-telnet 198.51.100.23 2wj9fsa2
Sent OpenTelnet:OpenOnce command.
randNum:46930886
challenge=469308862wj9fsa2
verify:OK
Open:OK
$ telnet 198.51.100.23
Trying 198.51.100.23...
Connected to 198.51.100.23.
Escape character is '^]'.
LocalHost login: root
Password: 

对用户来说,坏消息是,目前针对该后门没有可用的补丁,但PoC代码已公开。

Yarmak表示,考虑到海思之前对相关漏洞的修复,指望厂商提供补丁是不现实的。

作为临时防御措施,用户可以根据需要限制对受影响设备的网络访问,只允许受信任的用户进行访问。

从目前情况来看,已有几十个品牌和数百个型号易受到黑客攻击,他还提到了另一位研究人员之前的研究(其中列出了一些易受攻击的产品)。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/97367/hacking/hisilicon-chips-backdoor.html

最新评论

昵称
邮箱
提交评论