【安全通报】利凌LILIN DVR的高危漏洞

iso60001 1733天前

近期，国内安全公司（360Netlab）发表文章，表示从2019年8月30日开始就监测到多个攻击团伙使用LILIN DVR的0day漏洞构建多个僵尸网络。漏洞主要涉及硬编码登陆帐号密码，/z/zbin/dvr_box命令注入漏洞和/z/zbin/net_html.cgi任意文件读取漏洞。

利凌LILIN在1980年成立于台湾地区新北市，经过近四十年的迅猛发展，已成为世界领先的IP安全监控录影产品制造商。公司还和50多家软件商合作，可根据要求定制安全解决方案。

概况

根据目前FOFA系统最新数据（一年内数据），显示全球范围内共有35324个利凌lilin服务对外开放。美国使用数量最多，共有13219个，英国第二，共有3195个，加拿大第三，共有2512个，马来西亚第四，共有2478个，日本第五，共有1820个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）。

中国大陆地区北京市使用数量最多，共有10个，其次是吉林省，共有4个。

危害等级

高危

漏洞原理

硬编码登陆帐号密码列表：

root/icatch99
report/8Jg0SR8K50

默认账号密码：

admin/123456

/z/zbin/dvr_box命令注入漏洞：

1./z/zbin/dvr_box程序中的dvr_serv::do_request()函数负责解析DVRPOST传入的xml配置，并调用相应的处理函数；

2.dvr_core::NTPUpdate()函数将Server字段传入到依赖库libutility.so中的UtilityBox::UtilityNtp::run()函数；

3.UtilityBox::UtilityNtp::run()函数根据Server字段值，拼接并执行ntp时间同步命令；

4.由于以上过程缺乏对Server字段的特殊字符的过滤，导致命令注入。

/z/zbin/net_html.cgi任意文件读取漏洞：

1.通过硬编码登陆账号密码和/z/zbin/net_html.cgi程序中的任意文件读取漏洞，获取设备配置文件信息/zconf/service.xml；

2.修改/zconf/service.xml中的FTP或NTP参数的Server字段，注入后门命令；

3.通过硬编码账号密码远程访问POST /dvr/cmd接口，使用SetConfiguration功能，传入修改后的xml实体，向目标设备写入配置文件；

4.设备会定时同步FTP或NTP配置，触发命令执行。

其中FTP或NTP配置的命令注入依赖于步骤1，2获取到的网络配置信息。如果直接执行步骤3，则可能会使设备断网。

漏洞影响固件

LILIN DHD516A
* 2.0b1_20191202 - JPEG C4 panels
* 2.0b1_20180828  - RTSP works

LILIN DHD508A
* 2.0b1_20180828  - RTSP works

LILIN DHD504A
* 2.0b1_20191202 - JPEG C4 panels
* 2.0b1_20190417  - JPEG C4 panels

LILIN DHD316A
* 2.0b1_20180828
* 2.0b1_20171128 C4 Panels

LILIN DHD308A
* 2.0b1_20180828

LILIN DHD304A
* 2.0b1_20180828

LILIN DHD204 IP  Camera
* 1.06_20151201

LILIN DHD204A IP Camera
* 2.0b60_20160223
* 2.0b60_20161123

LILIN DHD208 IP Camera
* 2.0b60_20160504

LILIN DHD208A IP Camera
* 2.0b60_20160223
* 2.0b60_20161123

LILIN DHD216 IP Camera
* 2.0b60 20151111

LILIN DHD216A IP Camera
* 2.0b60_20160223
* 2.0b60_20161123