2222.png


【漏洞预警】数十万酷视网络摄像头存在高危风险,可导致视频泄露、被植入僵尸网络等风险


酷视网络摄像头存在默认口令和缓冲区溢出漏洞。默认口令可以使攻击者查看监控视频流,缓冲区溢出漏洞可以导致攻击者完全控制监控设备,从而导致隐私泄露。漏洞评级为高危。该漏洞影响范围大,且漏洞公布时间在2017年7月13日,提醒广大用户注意,及时更新固件,修复漏洞,并修改默认口令。保护好自己的隐私。

酷视网络摄像头是由深圳市丽欧电子有限公司研发的监控设备,深圳市丽欧电子有限公司是国内最早进入网络摄像头领域的专业厂商之一。 2004年成立国内摄像头研发中心,并取得多项国家专利,产品通过了国家质量检测部门的认证和CE、FCC等国际标准认证,营销网络遍及欧洲及亚太等全球100多个国家和地区。根据FOFA上最新数据显示,全球有65W+用户,中国用户大概11W。

  • 存在漏洞设备版本:NeoCoolcam IPCam NIP-22FX
  • 存在漏洞固件版本:V7.7.4.1.1-20160701

酷视网络摄像头全球网络资产分布情况(仅为分布情况,非漏洞影响情况)

图片.png

在2017年的时候,就曝光过酷视网络摄像头NIP-22和iDoorbell存在多个缓冲区溢出漏洞(一些在验证之前)等设备存在该缓冲区溢出漏洞,可以使攻击者远程控制监控设备,波及17.5W用户。虽然官方已经发布了无漏洞的固件,但是仍存在未升级的设备,数量不容小觑。


默认口令漏洞

原理:酷视摄像头存在3组默认口令,分别是admin:admin , user:user , guest:guest,在请求头中加入Authorization: Basic + (ba se64编码后的口令) 或者访问IP/?usr=(username)&pwd=(passwd) 即可登录, 这三组用户都有权限查看视频流 。登陆后系统只要求修改admin的默认口令,很容易忽视其他两个账号的安全问题。

危害:用户隐私可能泄露,生活隐私很容易变成现场直播,建议把3组默认口令全部修改。

据白帽汇安全研究院抽样统计,约有10%存在弱口令问题,有几万的用户隐私可以变成现场直播,细思极恐。


缓冲区溢出漏洞导致远程命令执行

原理:以上所说的NIP-22和iDoorbell这两种设备的 Web服务和RSTP服务 都存在缓冲区溢出漏洞,并且无需认证

  • Web服务

图片.png

HTTP服务中的此漏洞在应用程序处理用户名和密码信息的方式中的错误触发。 当用户以“http:// (ip) /?usr = (user)&pwd = (password)”的GET请求进行身份验证时。 验证函数会尝试解析这些值,“libs_ parsedata”会复制堆栈上两个参数的内容,但不会检查它们的长度,于是就会发生溢出。

最终payload如下:

GET /?usr=<204bytes><command>&pwd=<328bytes><0xD8ED07> HTTP/1.1 

command中不能含有&和空白符,可以用${IFS}代替。

  • RTSP服务

图片.png

在DESCRIBE请求中处理认证字段时会产生缓冲区溢出漏洞。首先将“Authorization: Digest”字段复制到缓冲区中。 执行以下代码后,R0会指向“Digest”字符串的开头。

图片.png

我们发送的RTSP 头中的 Authorization: Digest =””,并且会被“sscanf”函数解析,将field和value存到函数堆栈,但是没有检查这两部分的长度,导致溢出。

图片.png

最终payload如下:

DESCRIBE rtsp://<IP>:554/ RTSP/1.0 
Authorization: Digest <296 bytes><command>=”<548 bytes><0xD8ED07>” 

POC

目前FOFA平台已收录默认口令检测POC。

1111.png

CVE编号

修复建议

建议该设备不要对公网开放,修改默认口令,并升级到最新固件(http://szneo.com/en/service/index.php)。 

参考

 http://szneo.com/
    https://www.bitdefender.com/box/blog/ip-cameras-vulnerabilities/neo-coolcams-not-cool-buffer-overflow/ 
作者:liudao - 转自NOSEC.ORG