安全研究机构SEC Consult公司在本周二(10月9日)发表的一篇博文中警告称,他们已经确定了100多家供应商正在销售中国杭州雄迈信息技术有限公司(以下简称“雄迈”)生产的视频监控设备,而这些设备很容易因为不安全的云功能(XMEye P2P Cloud)遭到黑客攻击。

雄迈为什么会受到关注?

雄迈创立于2008年,是一家总部位于中国浙江省杭州市富阳区银湖科创中心的集安防视频监控类产品研发、生产和销售于一体的高科技企业,也是全球最大的视频监控设备(监控摄像机、DVR数字视频录像机和NVR网络录像机)制造商之一。

SEC Consult表示,之所以雄迈会引起他们的关注,是因为从2016年开始,Mirai僵尸病毒及其变种利用一个关键漏洞(即这些设备通过使用硬编码凭证的TCP端口23和9527提供了高权限的shell访问)感染了数十万台由雄迈制造的设备,并将这些受感染设备用作了迄今为止最大的分布式拒绝服务(DDoS)攻击的一部分。

什么是XMEye P2P Cloud?

所有由雄迈制造的设备都具有一个默认启用的云功能,名为“XMEye P2P Cloud”,允许用户通过互联网访问他们的IP摄像头、NVR或DVR。用户可以使用各种XMEye应用程序(包括Android和iOS版本)连接到他们的设备,而所有连接均通过雄迈提供的云服务器基础架构建立。

从可用性的角度来看,这项功能使得用户与设备的交互更加容易,因为用户在连接设备时无需与设备处于相同的网络下(例如,相同的Wi-Fi网络)。此外,路由器上不需要防火墙规则、端口转发规则或DDNS设置,这使得这项功能也为非技术用户提供了方便。

不过,SEC Consult表示,这种方法同时也会带来几种安全隐患:

  • 首先,所有数据(例如,视频流)都会发送给云服务器提供商。这往往会带来一堆开放式问题——是谁在运行这些服务器?是谁控制着这些服务器?它们位于哪里?它们是否属于当地相关部门的管辖范围?该服务是否符合《欧盟一般数据保护条例》(EU GDPR)?
  • 其次,如果数据连接没有进行加密,那么也就意味着任何可以拦截连接的人都能够监视所有交换的数据。
  • 最后,“P2P Cloud”功能绕过了防火墙,允许用户远程连接到专用网络。这也就意味着攻击者现在不仅仅可以攻击暴露于网络中的设备,而且还可以攻击通过“P2P Cloud”暴露的设备。

可预测的XMEye Cloud ID

那么这个“XMEye Cloud ID”功能是如何在实践中发挥作用的呢?每台设备都有一个唯一的ID,它被称为Cloud ID或UID(如68ab8124db83c8db)。使用此ID,用户可以通过XMEye应用程序连接到设备。

然而,SEC Consult发现雄迈设备的Cloud ID基于设备的MAC地址,因此它似乎并不具备很好的随机性。相反,它具有一个明确定义的结构:3字节OUI( 供应商的组织唯一标识符)+3字节NIC ID(接口ID)。这使得攻击者可以很容易列举出潜在的MAC地址或Cloud ID,并从找出有效的ID。

SEC Consult表示,他们在2018年3月份在每个OUI范围内扫描了0.02%的设备(每个范围内1600万台设备)。基于扫描结果,他们推测在给定的OUI范围内至少有900万台雄迈设备在线:中国(5,438,000)、德国(1,319,000)、美国(742,000)、新加坡(697,000)、日本(577,000)和土耳其(189,000)。

未设密码的默认管理员账户

如上所述,SEC Consult发现通过XMEye Cloud可以连接到数以百万计的雄迈设备。当然,连接需要有效的凭证。但SEC Consult发现,所有新的XMEye帐户都使用默认的管理员用户名“admin”并且没有设置密码,最糟糕的是在安装过程中并不需要用户更改它。这个管理员账户提供了大量的权限,如查看视频流、更改设备配置,甚至是安装固件更新。

除admin之外,默认情况下还存在一个名为“default” 的没有被记录的账户,它的密码为“tluafed”。经过SEC Consult的验证,这个账户同样可用于通过XMEye Cloud登录设备,并且至少具有访问/查看视频流的权限。因此,即使用户更改了管理员账户密码,攻击者也可以通过“default”账户来连接设备。

通过固件更新执行任意代码

SEC Consult还发现了可以通过固件更新在雄迈设备上执行任意代码的方法,这源于固件更新没有签名,这使得攻击者可以创建包含恶意代码的固件更新。SEC Consult表示,这可以通过修改固件更新中包含的文件系统或修改固件更新文件中的“InstallDesc”文件来实现。“InstallDesc”是一个文本文件,其中包含在更新期间执行的命令。

攻击者可以通过XMEye Cloud来部署恶意固件更新。为此,攻击者需要通过更改设备的DNS配置(XMEye API的一部分)来模拟云更新服务器“upgrade.secu100[.]net”,然后执行  XMEye Cloud API命令“H264_DVR_Upgrade_Cloud()”来使设备获取并安装恶意固件更新。

值得注意的是,以上这种方法允许攻击者将恶意软件持久地保存在设备的闪存中,即使重启设备也无法清除。

都有哪些供应商受到影响?

SEC Consult表示,所有由雄迈制造的设备都存在这样的安全隐患。不幸的是,仅知道这一点并没有帮助,因为这些设备不会在任何地方提及“雄迈”(它不会出现在使用手册、包装盒、Web界面或DVR/NVR界面上)。这是因为熊迈只是作为OEM(代工),而不是品牌。

以上这种策略被称为“ White label”,指的是一方负责提供产品,由另一方用自己的品牌进行销售。从目前来看,SEC Consult已经找出了100多家使用雄迈硬件/固件的供应商,这包括:9Trading、Abowone、AHWVSE、ANRAN、ASECAM、Autoeye、AZISHN、A-ZONE、BESDER/BESDERSEC、BESSKY、Bestmo、BFMore、BOAVISION、BULWARK、CANAVIS、CWH、DAGRO、datocctv、DEFEWAY、digoo、DiySecurityCameraWorld、DONPHIA、ENKLOV、ESAMACT、ESCAM、EVTEVISION、Fayele、FLOUREON 、Funi、GADINAN、GARUNK、HAMROL、HAMROLTE、Highfly、Hiseeu、HISVISION、HMQC、IHOMEGUARD、ISSEUSEE、iTooner、JENNOV、Jooan、Jshida、JUESENWDM、JUFENG、JZTEK、KERUI、KKMOON、KONLEN、Kopda、Lenyes、LESHP、LEVCOECAM、LINGSEE、LOOSAFE、MIEBUL、MISECU、Nextrend、OEM、OLOEY、OUERTECH、QNTSQ、SACAM、SANNCE、SANSCO、SecTec、Shell film、Sifvision / sifsecurityvision、smar、SMTSEC、SSICON、SUNBA、Sunivision、Susikum、TECBOX、Techage、Techege、TianAnXun、TMEZON、TVPSii、Unique Vision、unitoptek、USAFEQLO、VOLDRELI、Westmile、Westshine、Wistino、Witrue、WNK Security Technology、WOFEA、WOSHIJIA、WUSONLUSAN、XIAO MA、XinAnX、xloongx、YiiSPO、YUCHENG、YUNSYE、zclever、zilnk、ZJUXIN、zmodo和ZRHUNTER。

雄迈被指没有积极处理问题

SEC Consult在博文的最后部分指出,自2018年3月以来,他们一直都试图通过 ICS-CER来反映问题。ICS-CERT也早已经与雄迈和中国国家互联网应急中心(CNCERT/CC)取得了联系,并告知了他们这些问题。

现在,7个月的时间已经过去了,雄迈似乎仍然没有解决任何问题。一些漏洞已经被公开披露,但这些漏洞在最新的固件版本中仍未被修复,这包括目录遍历漏洞CVE-2017-7577和各种缓冲区溢出漏洞(CVE-2017-16725CVE-2018-10088)。

此外,SEC Consult还在博文中提供了多种如何识别自己的设备是否是由雄迈制造的方法,正在使用视频监控设备的用户可以去原文进行查看。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。