当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-059920

漏洞标题:如何实现物联网设备批量开采比特币?(蠕虫实现剖析)---物联网安全

相关厂商:各大厂商

漏洞作者: Z-0ne

提交时间:2014-05-08 16:13

修复时间:2014-06-22 16:14

公开时间:2014-06-22 16:14

漏洞类型:基础设施弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-08: 细节已通知厂商并且等待厂商处理中
2014-05-11: 厂商已经确认,细节仅向厂商公开
2014-05-21: 细节向核心白帽子及相关领域专家公开
2014-05-31: 细节向普通白帽子公开
2014-06-10: 细节向实习白帽子公开
2014-06-22: 细节向公众公开

简要描述:

昨天各大互联网媒体都转载了如下一条新闻:
震惊!黑客竟可通过数字录像机等联网设备开采比特币。
系统网络安全协会(SANS institute)的研究人员们表示,有事实证明,诸如数字录像机(DVR)在内的联网设备,竟然也有被感染恶意软件,并被黑客用于开采特比特。最让研究人员震惊的是,攻击者竟然使用了一系列的Unix命令,向DVR上传了一个Wget包(包含了通过HTTP/HTTPS/FTP等用于检索文件的一系列软件)。
在该软件就位之后,攻击者就能够轻而易举地连接到一台服务器,然后顺利地下载比特币挖矿程序。显然,出问题的DVR只是一系列脆弱的联网设备中的一小部分。
连接:http://digi.163.com/14/0507/10/9RKTL8G000162OUT.html
下面就是实际的案例以及对整个事件的简单还原分析,之所以简单,是因为昨天出了新闻后只是花了较少的时间去复现某些问题,至于对攻击者的反追踪和程序逆向感兴趣的童鞋可以私信我或到SANS博客围观,对于第一个实现自动化攻击的攻击者,所用到的思路还是非常值得借鉴和参考的,居然把分布式扫描玩到了ARM和MIPS的linux上,根据分析目前也不止一批人在控制这些嵌入式设备,从拿到的程序来看,这套自动化攻击程序涉及ARM,MIPS,甚至是X86等架构,同时也借这个事件也提醒了我们暴露在公网的设备、诸如PLC、传感器、UPS,定向的黑掉只是分分钟的事情,新闻中只是提到了利用设备去挖矿,然而他忽略了攻击者借着蠕虫式循环传播,控制大量世界各地的设备肉鸡,并且可以通过程序控制整个僵尸网络,对指定目标实现分布式拒绝服务攻击。
注意:该套模式可不止单单只套用在DVR设备上,这里举个最简单的例子,如核总曾经捅过的指纹门禁等,以及从后门程序中拿到的字符串描述还涉及到多种设备,主要基于http和telnet,好吧具体的就不透露了,大家都明白,建议cert还是急时封杀吧。

详细说明:

这里以hikvision的设备为例:
案例一:
1、hikvision海康作为领先的安防产品厂商,产品应用还是非常广泛的,大家也都知道互联网上跑着很多摄像头设备,或是DVR数录设备等,通常情况下一般中小型设备使用的都为精简式架构,如ARM、MIPS等,一是成本低廉,二是低功耗,大多数嵌入式设备的系统为裁剪的LINUX,内部跑着厂商开发的相关应用程序,有busybox命令集,可以运行简单的调试命令,一般telnet或者设备的com口作为系统登录的途径,针对存在弱口令的设备,攻击者基于指纹识别或SHODAN这种大数据,就能轻松实现自动化攻击,如下图。

0.jpg


2、以如图一台hikvision DVR设备举例,telnet方式root存在若口令,查看网络连接,设备有频繁连接未知IP,23,80端口的迹象,疑似扫描状态,这里查看详细进程ID,以及操作连接的进程。

1.jpg


2.jpg


3.jpg


3、虽然进程显示程序路径在/dev下,但实际并没有找到后门程序,/dev/下留了可疑文档,根据时间排序很快就翻到了可疑脚本。

6.jpg


4、终端看着不是很方便,我们可以使用ftpput的方式将文件上传取回,如下图

5.jpg


7.jpg


5、通过如上的脚本我们基本可以看出,使用重定向方式输出了一个执行程序,功能应该是一个类似wget的工具,并且从固定IP上下载了另一个程序执行。
6、同时还能下载mips下的二进制文件。

8.jpg


7、通过字符串基本确定了为攻击者的后门程序,其中可以利用多个设备漏洞如linksys等实现自动化扫描。

9.jpg


8、在批量测试中发现了甚至更全的集成后门攻击程序。

QQ截图20140508142504.jpg


9、尝试passwd_nfs备份密码文件中的提供的密码和admin/12345,root/12345对hikvision设备有较高的命中率,SHODAN收录基数也比较多,

QQ截图20140508145938.jpg


10、同样该套思路用在互联网上有很多实体设备的中控指纹机上(同时存在默认密码),搞不好也应该行得通,不过这个就当我没说。

QQ截图20140508152643.jpg

漏洞证明:

综上所述~

修复方案:

健壮出厂默认口令

版权声明:转载请注明来源 Z-0ne@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-05-11 21:12

厂商回复:

最新状态:

暂无