文 | 黑龙江省安达市田家炳高级中学 郭佳琛

近年来,随着网络摄像头(Webcam)在安防监控、智能交通、智慧城市、智能生活等领域的应用越来越广泛,其安全变得尤为重要。由于需要通过网络进行管理,所以网络摄像头设备通常直接暴露在互联网上,并且缺乏完善的安全防护措施,导致网络摄像头设备极易受到攻击,致使个人隐私安全与互联网安全都面临着严峻的挑战。

一、网络摄像头现状

网络摄像头,也称IPC,主要指连接在互联网上的开放摄像头,也泛指网络摄像头与NVR(网络硬盘录像机)、DVR(硬盘录像机)组成的网络摄像头系统,保障并方便了我们的生活。目前市面上常见的网络摄像头品牌有:海康威视、大华、Network video等。

网络摄像头从本质上来看,就是具有视频流传输功能的嵌入式系统,往往是在嵌入式linux操作系统上,通过搭建服务器并运行相关应用程序实现网络摄像头的相关功能。

网络摄像头通常以两种形式提供视频服务:

一类是采用web界面方式,将视频图像展现在网页中;

另一类则是通过客户端的方式,将视频观看功能集成在客户端中,通过启动应用进行视频观看。

目前国内外针对网络摄像头漏洞的研究方向主要分为:

1.针对网络摄像头固件的漏洞的研究。通过对不同型号的网络摄像头固件进行提取解剖,发现固件中存在的漏洞,从而利用漏洞实现控制权获取、权限提升、或进行拒绝服务攻击。

2.针对网络摄像头前端网页的漏洞的研究。通过对相关产品的了解以及前端源码的分析,发现其可能存在的弱口令、注入、XSS、文件包含、代码执行等漏洞,从而利用漏洞实现绕过检测、获取权限、越权读取、命令执行。

因此,研究网络摄像头的漏洞探测与利用技术对于提升公众安全意识和网络摄像头设备安全性具有重要的促进作用。

二、网络摄像头识别技术

对网络摄像头的研究第一步就是在数量庞大的IP中准确识别网络摄像头及其型号,这也是漏洞检测的关键。根据对大量已知的网络摄像头设备进行分析后,按识别方式可将网络摄像头识别技术分为两类。

1.基于端口的识别

端口作为服务的标志,可以作为是否运行某项服务的判断标准。同时不同类型的设备由于其服务特性,往往开放的端口也具有一定特性。所以端口特性可以作为设备识别的重要参考依据。

(1)通用网络摄像头识别

RTSP(实时流传输协议)服务,是用来控制声音或影像的实时多媒体流传输协议,能建立并控制一个或多个时间同步的连续流媒体,但并不特别强调时间同步要求,所以比较能容忍网络延迟,通常用于网络摄像头设备,其服务端口一般为554。针对大量已知的网络摄像头设备,利用nmap扫描软件可以发现,大部分网络摄像头设备均开启了554端口,运行了RTSP服务。所以554端口以及对应的RTSP服务可以作为通用网络摄像头设备的一个指纹特征,只要开启了554端口就可以认为该设备很大几率是网络摄像头设备。利用这种方式可实现网络摄像头的一般识别,但为了使识别结果更准确,还需要进一步对其设备型号进行识别。

(2)网络摄像头具体型号识别

在对各品牌型号网络摄像头进行扫描分析时,通过查阅各类型产品的使用手册以及产品使用的实际端口号可发现,一些品牌型号的摄像头为了方便厂商对产品进行综合管理,在RTSP的基础上会采用厂商自己的私有协议,对应的开放了相应特殊端口,常见开放的特殊端口有大华的37777端口、海康威视的8000端口等,这些特殊端口在一般情况下,不会被其他服务所占用。所以在554端口识别的基础上,通过检查这些特殊端口可以进一步识别具体的设备类型,并与其它探测结果(如网页爬取)互相佐证。

简单总结开放特殊端口的网络摄像头产品品牌,如表1所示。

2.基于web网页特征的识别

通常情况下,一个web页面会包含很多信息,例如:页面标题往往就是web页面的主要内容或者描述对象;有些页面在底端会有网站声明,声明中往往就包含网站所有者或网站所有公司信息。

因为网络摄像头均采用了web页面的方式提供视频服务,所以可以通过web网页提供的信息对摄像头以及类型进行识别。但由于Web网页爬取消耗的时间长,不便于大规模扫描,此方式仅作为端口识别后的佐证依据,以及进一步识别网络摄像头类型的方式。

(1)基于网页标题的识别

大多数网络摄像头设备的web网页均写有标题,不同设备之间web标题存在差异,所以可以通过对web网页标题进行爬取来识别网络摄像头的类型。

例如大华网络Webcam网页标题如图1所示。

查看页面源码可以发现,title标签内设置了网页的标题为“WEB SERVICE”,而通过查看其他类型的Webcam网页发现,并未有其他Webcam网页以“WEB SERVICE”作为标题,那么就可以以此作为指纹特征,作为识别大华品牌的网络摄像头的依据。

通过收集整理,得到了品牌与web页面标题的对应列表,如表2所示。

(2)基于http/https协议信息的识别

在进行http/https数据交互的过程中,由于协议规定,交互双方需要提供一些与自身相关的信息,在网络摄像头的web页面提供的http/https服务中同样提供了相关信息,这些信息往往就能暴露出交互双方(特别是服务方)的特征,如http响应头中的Server字段、https的证书信息等,通过这些特征往往就能很轻松地判断出服务方的品牌类型。

例如Network video品牌的Webcam,其http响应头中Server字段的值为“JAWS/1.0”,如图2所示。

通过和其他web页面服务器名称对比,发现该服务器名称仅仅在该品牌的网络摄像头上使用。那么通过获取http响应头部信息就可以准确的识别出该类型号的Webcam设备。收集到的各类设备http响应头部特征列表如表3所示。

三、网络摄像头漏洞探测技术

当识别出Webcam的品牌类型后,就可以针对有漏洞的品牌进行漏洞检测,针对不同的Webcam漏洞,通常采用不同的检测方式。

1.弱口令漏洞

由于很多厂商在出厂的时候对设备视频服务口令并未做随机处理,而是采用默认口令的方法。同时,大部分网络摄像头使用者由于安全意识淡薄,在使用网络摄像头时并未对默认口令进行更改,所以导致相当一部分数量的网络摄像头设备都能通过默认口令获取到视频服务。

使用登录检测的方式对网络摄像头进行漏洞检测,通过收集整理,市面上大部分摄像头使用了如admin/1234、admin/12345、admin/12346、admin/admin等默认弱口令。使用这些弱口令,利用各个品牌所提供的客户端或者web网页登录接口,就可以实现对不同品牌的网络摄像头设备的远程控制。

2. Network video设备的内建shell漏洞

Network video设备存在内建shell漏洞,该漏洞是由于设计者起初为了方便实现相关功能,采用了内建shell的方式,但并未做任何权限限制,导致非授权用户也可以进行操作。利用payload为:

http://[ip:port]/shell?/[命令]

该公司在2015年之后已经对该漏洞进行了修补,打过补丁的设备均无法利用该漏洞。但由于使用者的安全意识不足,相当一部分使用者在设备使用过程中没有对设备固件进行升级,因此许多设备的漏洞依旧存在。

针对该漏洞的检测方式可以采用获取其补丁时间的方式,若其时间为2015年之前则认为其存在该漏洞。

在对该设备的http响应进行分析时发现,其http响应头部的Server字段中比较特殊,该字段中不仅仅包含了服务器名称还包含了日期信息,例如“JAWS/1.0 Dec 23 2014”,经过分析,推定该日期为补丁的更新日期。即对该设备可通过http响应的头部信息可以间接的判断Network video设备的补丁日期,从而判断出该设备是否存在漏洞。

3. CVE-2018-9995漏洞

利用CVE-2018-9995漏洞可以轻松提取相应品牌的明文凭证,实现登录绕过,获取相应访问权限,并可以随意查看录制的视频。漏洞利用原理是通过使用 “Cookie:uid = admin” 的 Cookie 标头来访问特定 DVR 的控制面板,DVR 将以明文形式响应设备的管理员凭证,即登录账户口令以明文形式返回,从而实现登录绕过。受该漏洞影响的网络摄像头品牌有:TBK、Novo、CeNova、QSee、Pulnix、XVR 5 in 1、Securus 和 Night OWL。

由于CVE-2018-9995属于新出现的漏洞,所以厂商还未能进行及时修复响应,用户无漏洞补丁可用,几乎所有可以识别的该类设备均可进行漏洞利用。对于该漏洞,相应设备的识别过程就可以看作漏洞检测过程,凡是可以识别为相应种类品牌的Webcam设备均可利用该漏洞。

对该类型号的网络摄像头的web页面进行分析。对比不同页面,最终从http响应头部信息中可提取出该类设备的特征信息,头部Server字段为“Server:GNU rsp/1.0”,如图3所示。

通过判断http响应头部信息Server字段是否为“Server:GNU rsp/1.0”,即可实现对存在CVE-2018-9995漏洞影响的设备的识别与漏洞检测。

四、网络摄像头防护措施

针对网络摄像头目前存在的问题隐患,主要的防范措施有:

1.修改默认密码,设置复杂密码策略,定期更换密码,尽可能地避免网络摄像头持续互联网在线。

2.设置网络摄像头的IP地址为静态本地IP地址,不配置默认网关,使其成为内网设备。这样网关以内的设备可以访问网络摄像头,但网络摄像头不能直接访问互联网,可确保摄像头不能直接向互联网传送视频。

3.及时下载官方补丁,修复系统漏洞,对摄像头程序及时更新,安装最新版本的驱动程序。对于黑客入侵可能造成的信息泄露,采取必要防护措施,比如安装防火墙。

随着计算机网络的不断发展,网络摄像头的使用越来越广泛,在网络摄像头为我们的生活带来方便的同时,也不能忽视网络摄像头所带来的潜在安全风险。同时,与摄像头类似,家用路由器、智能家电等其他物联网IOT设备也存在类似的安全问题,只有不断普及和增强安全意识,采用多种安防措施和手段,才能有效提升IOT设备的安全性。

(本文刊登于《中国信息安全》杂志2019年第4期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。