CVE-2022-30563:浙江大華網(wǎng)絡(luò)攝像機(jī)安全漏洞
浙江大華網(wǎng)絡(luò)攝像機(jī)安全漏洞��,涉多款網(wǎng)絡(luò)攝像機(jī)���。
據(jù)企業(yè)官網(wǎng)介紹,浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營(yíng)服務(wù)商����。產(chǎn)品包含各種類(lèi)型的網(wǎng)絡(luò)攝像機(jī)、測(cè)溫?cái)z像機(jī)等熱成像產(chǎn)品���、網(wǎng)絡(luò)硬盤(pán)錄像機(jī)等���。解決方案涵蓋智慧城市����、智慧交管���、智慧交通、社會(huì)治理���、智慧應(yīng)急等��。
Nozomi Networks研究人員在大華部分IP攝像機(jī)產(chǎn)品Open Network Video Interface Forum(ONVIF��,開(kāi)放式網(wǎng)絡(luò)視頻接口論壇)標(biāo)準(zhǔn)規(guī)范WS-UsernameToken認(rèn)證機(jī)制的實(shí)現(xiàn)中發(fā)現(xiàn)了一個(gè)安全漏洞��,漏洞CVE編號(hào)CVE-2022-30563��,CVSS評(píng)分7.4分���。攻擊者利用該漏洞嗅探之前未加密的ONVIF交互、在新的請(qǐng)求中重放該憑證��,最終實(shí)現(xiàn)入侵網(wǎng)絡(luò)攝像機(jī)的目的�。
ONVIF 標(biāo)準(zhǔn)
遵循ONVIF 標(biāo)準(zhǔn)規(guī)范的產(chǎn)品可以通過(guò)廠商提供的標(biāo)準(zhǔn)化的API來(lái)實(shí)現(xiàn)無(wú)縫訪問(wèn)。這些API允許用戶在遠(yuǎn)程設(shè)備上執(zhí)行各種動(dòng)作���,比如鎖門(mén)或解鎖���、執(zhí)行維護(hù)操作等等�����。
ONVIF請(qǐng)求一般是通過(guò)HTTP網(wǎng)絡(luò)的XML SOAP消息傳輸?shù)摹?/span>
圖1 :觸發(fā)IP攝像機(jī)重啟的ONVIF請(qǐng)求示例
WS-UsernameToken認(rèn)證
除了其他的認(rèn)證機(jī)制��,ONVIF標(biāo)準(zhǔn)規(guī)范還接受WS-UsernameToken�。WS-UsernameToken依賴以下數(shù)據(jù)來(lái)認(rèn)證請(qǐng)求:
用戶名:認(rèn)證用戶的用戶名
Nonce:隨機(jī)數(shù)����,客戶單生成的唯一的隨機(jī)數(shù)
Created:請(qǐng)求創(chuàng)建的UTC時(shí)間
Password:認(rèn)證用戶的密碼
根據(jù)標(biāo)準(zhǔn)規(guī)范,Password不應(yīng)該是明文的����。設(shè)置密碼會(huì)生成一個(gè)密碼哈希摘要——PasswordDigest,生成算法為:
Digest = B64ENCODE( SHA1( B64DECODE( Nonce ) + Created + Password ) )
比如����,給定一下參數(shù):
Nonce – LKqI6G/AikKCQrN0zqZFlg==
Created – 2010-09-16T07:50:45Z
Password – userpassword
請(qǐng)求中就會(huì)包含以下摘要信息:
tuOSpGlFlIXsozq4HFNeeGeFLEI=
該機(jī)制可以幫助保護(hù)密碼和預(yù)防重放攻擊。
根據(jù)ONVIF標(biāo)準(zhǔn)規(guī)范���,為使得web服務(wù)生產(chǎn)商可以有效預(yù)防重放攻擊�,建議采取三種措施:
拒絕所有未使用nonce和時(shí)間戳的UsernameToken;
對(duì)時(shí)間戳的新鮮性進(jìn)行驗(yàn)證���,建議的最小值為5分鐘���。
在時(shí)間戳新鮮性范圍內(nèi),拒絕UsernameToken中使用過(guò)的nonce的UsernameToken�����。
CVE-2022-30563漏洞細(xì)節(jié)
研究人員對(duì)IPC-HDBW2231E-S-S2攝像機(jī)進(jìn)行了分析��,在提取設(shè)備指紋信息時(shí)�,從demo_admin管理員賬戶發(fā)送了GetScope ONVIF請(qǐng)求,如下圖所示:
圖 2 : 來(lái)自管理員賬戶的ONVIF GetScopes請(qǐng)求
發(fā)現(xiàn)返回的了發(fā)現(xiàn)階段使用的設(shè)備公共范圍參數(shù)以匹配探測(cè)消息�����。在嘗試第二次發(fā)送該請(qǐng)求時(shí)����,設(shè)備接受了該請(qǐng)求,并回應(yīng)了相同的消息�����。
然后研究人員偽造了一個(gè)添加攻擊者控制的管理員的CreateUsers請(qǐng)求���。使用與之前請(qǐng)求中相同的認(rèn)證數(shù)據(jù)�����,但是是從不同的IP地址���,時(shí)間是GetScopes請(qǐng)求傳輸后的大約30小時(shí)����,請(qǐng)求結(jié)果如下:
圖 3 : 構(gòu)造的ONVIF “CreateUsers”請(qǐng)求��,重放了相同的認(rèn)證數(shù)據(jù)
從圖3中可以看出���,設(shè)備接受了該請(qǐng)求�����,并創(chuàng)建了攻擊者控制的管理員用戶���。然后,可以使用新創(chuàng)建的管理員賬戶以完全權(quán)限訪問(wèn)設(shè)備�����,包括查看攝像機(jī)實(shí)時(shí)信息:
圖 4: 通過(guò)新創(chuàng)建的管理員賬戶查看攝像機(jī)信息
為發(fā)起該攻擊,攻擊者需要能夠嗅探到一個(gè)未加密的經(jīng)過(guò)WS-UsernameToken 認(rèn)證的ONVIF請(qǐng)求����。
大華IPC-HDBW2231E-S-S2默認(rèn)并未啟用HTTPS服務(wù)��,所有的ONVIF交互都是通過(guò)未加密的 HTTP進(jìn)行的���。研究人員建議用戶不要使用默認(rèn)的WS憑證���,并使用HTTPS進(jìn)行安全連接。
漏洞影響和補(bǔ)丁
該漏洞影響以下產(chǎn)品:
ASI7XXX: v1.000.0000009.0.R.220620之前版本��,包括人臉識(shí)別一體機(jī)
IPC-HDBW2XXX: v2.820.0000000.48.R.220614之前版本網(wǎng)絡(luò)攝像機(jī)
IPC-HX2XXX: v2.820.0000000.48.R.220614之前版本網(wǎng)絡(luò)攝像機(jī)
目前該漏洞已經(jīng)修復(fù)���,大華于2022年6月28日發(fā)布了安全補(bǔ)丁�����。
參考及來(lái)源:https://www.nozominetworks.com/blog/vulnerability-in-dahua-s-onvif-implementation-threatens-ip-camera-security/
來(lái)源:嘶吼專(zhuān)業(yè)版
在線咨詢
在線咨詢
0371-63319761