编者按:本文首发于微信公众账号凯奇哥,雷锋网已获授权转载。
羊年春晚大幕刚落,信息安全大戏即开唱。这两天新闻媒体铺天盖地报道的海康设备被境外IP地址控制事件(堪称“棱镜门”事件第二),让挣扎于年后综合症的国人们一下子又热闹开了。“棱镜门”这个词再次进入大众视野。
事件起源于江苏公安厅下发的一份名为《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》。文件指出海康威视的监控设备存在严重安全隐患,部分设备已经被境外IP地址控制。
实际上,早在2014年11月下旬,全球知名专业安全网站Security Street Rapid(https://community.rapid7.com/community/metasploit/blog/2014/11/19)就爆出了海康威视监控设备3个RTSP相关的致命安全漏洞,CVE编号为:CVE-2014-4878、CVE-2014-4879和CVE-2014-4880。这三个漏洞严重吗?
通俗的讲:只要知道海康威视相关设备的IP地址,用任意电脑执行一小段攻击脚本,就可以完全让其瘫痪,或者将其接管,甚至让你在其设备上畅所欲为。这三个漏洞与海康威视解释的弱密码原因没有任何关系。
而自此事曝光一直到江苏电文被传出,海康才于15年2月28日在官方微信发布 《海康威视针对“设备安全”的说明》,而且把问题归结于用户密码管理不当造成,解释这几个漏洞是因为设备登录密码太简单导致黑客登录攻击。
为了说明此解释有多么弱爆,笔者亲自用海康设备做了验证。通过实际测试,简单的攻击脚本就可以使其设备服务down机。如果攻击者通过脚本进行循环攻击,那该设备即便重启,也无法恢复服务。
实际测试结果如下:
1、海康DVR设备(2014年最新款,型号:HIK/DS-7804HGH-SNH/-AF-DVR-II-A/4-1):
DVR V3.0.4 Build140923:
经过测试,海康的DVR最新款2个漏洞中招:
2、海康NVR设备(2014年最新款,型号:DS-7108N-SN/P):
NVR设备版本信息:
经过测试,海康的NVR最新款3个漏洞全部中招:
真正的原因分析:
整个攻击过程根本不涉及被攻击对象的密码口令,从何谈口令是简单还复杂!这三个漏洞都是由于海康威视监控设备对RTSP(实时流传输协议)请求处理不当导致的高危级别的缓冲区溢出漏洞。通过该漏洞,攻击者可以对设备进行DoS(拒绝服务)攻击,导致监控设备的视频流异常,更严重的是,当攻击者通过该漏洞植入代码时,甚至可能直接获取设备的最高权限,从而完全控制其在网络上服务的监控设备,过去好莱坞大片中的很多犯罪场景就可以变成现实了……
如果你还想了解更专业的,耐心听小编来解释计算机执行指令的机制。计算机执行的指令都在内存中,本次爆出的3个漏洞都因海康威视监控设备在处理RTSP请求时,使用了固定的内存缓冲区(往往是固定长度的数组)来接收用户输入,从而当用户发送一个超过其可存储长度的数据来请求时,请求数据覆盖了固定数组以外的内存空间,最终导致服务端缓冲区溢出。因为是溢出的内存空间被覆盖,因此当覆盖的部分是攻击者写的恶意代码时,恶意代码就可以通过溢出来改变服务端的程序执行流程,从而执行任意代码来操控设备。示意图如下:
所以,对于海康威视2月28日的官方解释,只要对网络安全稍微有所了解的人,都能将其戳穿。这样的解释糊弄单个用户还可以接受,但在官方渠道上做此番澄清,把问题踢回给用户,着实令人瞠目结舌。笔者建议有海康威视监控设备的用户,非常有必要做反攻击验证,或者让厂商协助排查,否则安全隐患是极大的,一旦被利用,后果不堪设想。
涉及的海康设备范围:
打开了554端口(RTSP实时流媒体协议)的所有海康设备。
三个漏洞的描述:
CVE-2014-4878:根据报告描述,其漏洞成因是在Hikvision的监控设备处理RTSP请求时,使用了固定的缓冲区接受body,当攻击者发送一个较大的body时,可能会产生溢出,致使服务crash等。
CVE-2014-4879:RTSP对请求头的处理同样也使用了固定大小的缓冲区,攻击者可以构造一个足够长的头部来填满缓冲区,产生溢出。
CVE-2014-4880:RTSP在对事务对基础认证头进行处理的时候,同样由于使用了固定的缓冲区,导致攻击者可通过构造来进行溢出,甚至执行任意命令。
RTSP具体信息都可以查看RFC描述:http://www.ietf.org/rfc/rfc2326.txt