索尼生产的80款网络摄像头中存在硬编码的登陆凭证信息,由于是静态的身份凭证,一旦被破解,就可以被Mirai等恶意软件用来控制设备,从而发动大规模的DDoS攻击。这些存在漏洞的摄像头都来自Sony Professional Ipela Engine系列的IP摄像头。
这些摄像头都是索尼针对专业市场的安全摄像头,价格都比较高,用户群体主要是企业和政府机关。
上面提到的硬编码的身份凭证信息,本质上可算是“秘密后门”。奥地利信息安全公司SEC Consult的Stefan Viehböck于10月发现了该后门,并于昨日公布研究报告。索尼官方则已经放出固件更新修复了后门问题,并对SEC Consult表示了感谢。
摄像头内包含后门
原来的固件中,web版的管理控制台包含两个经过硬编码并且永久开启的账号,分别是用户名debug/密码popeyeConnection;用户名primana/密码primana,后者能够用来开启Telnet访问,甚至能够通过一条命令得到摄像头的管理员权限。在那些更晚上市的摄像头型号,还能够开启SSH服务器。
比如如果从存在漏洞的设备访问了以下两个地址,telnet就会被开启:
http://primana:primana@HOST/command/prima-factory.cgi?foo=bar&Telnet=zKw2hEr9
http://primana:primana@HOST/command/prima-factory.cgi?foo=bar&Telnet=cPoq2fi4cFk
访问上面这两个地址,会触发这些摄像头中第五代Ipela Engine摄像头的prima-factory.cgi程序,通过启动inetd开启后门,摄像头会设置在23端口运行telnet进程。而第六代摄像头的关键字符串为”himitunokagi”,也就是日语中的“秘密の鍵”(密钥)。一旦开启了telnet/ssh服务,攻击者只需破解以下密码哈希就可以以root身份登陆,并且通过命令行进入操作系统:
$1$$mhF8LHkOmSgbD88/WrM790 (第五代)
iMaxAEXStYyd6 (第六代)
SEC Consult认为黑客有能力破解root登陆密码,因此建议广大用户及时升级到最新版本的固件。
“我们没有花时间去破解root密码,但这仅仅是时间和计算能力的问题,最终还是有人会破解出来的。”SEC Consult漏洞实验室负责人Johannes Greil说道。
索尼的这些摄像头设备中还有一个默认的用户名密码组合:admin/admin,这个组合可以用在web端的控制台中——这是比较常见的默认用户名密码组合。除此之外,primana账号能够开启一些设备测试的功能,而debug账户能开启什么功能SEC Consult还有待研究。
影响范围
受影响的信号使用的固件版本是1.82.01(第五代)之前,或是2.7.0(第六代)之前。固件版本1.86.00和2.7.2中包含了补丁。所涉及的具体型号如下:
SNC-CX600, SNC-CX600W, SNC-EB600, SNC-EB600B, SNC EB602R, SNC-EB630, SNC-EB630B, SNC-EB632R, SNC-EM600, SNC-EM601, SNC-EM602R, SNC-EM602RC, SNC-EM630, SNC-EM631, SNC-EM632R, SNC-EM632RC, SNC-VB600, SNC-VB600B, SNC-VB600B5, SNC-VB630, SNC-VB6305, SNC-VB6307, SNC-VB632D, SNC-VB635, SNC-VM600, SNC-VM600B, SNC-VM600B5, SNC-VM601, SNC-VM601B, SNC-VM602R, SNC-VM630, SNC-VM6305, SNC-VM6307, SNC-VM631, SNC-VM632R, SNC-WR600, SNC-WR602, SNC-WR602C, SNC-WR630, SNC-WR632, SNC-WR632C, SNC-XM631, SNC-XM632, SNC-XM636, SNC-XM637, SNC-VB600L, SNC-VM600L, SNC-XM631L, SNC-WR602CL, SNC-CH115, SNC-CH120, SNC-CH160, SNC-CH220, SNC-CH260, SNC-DH120, SNC-DH120T, SNC-DH160, SNC-DH220, SNC-DH220T, SNC-DH260, SNC-EB520, SNC-EM520, SNC-EM521, SNC-ZB550, SNC-ZM550, SNC-ZM551, SNC-EP550, SNC-EP580, SNC-ER550, SNC-ER550C, SNC-ER580, SNC-ER585, SNC-ER585H, SNC-ZP550, SNC-ZR550, SNC-EP520, SNC-EP521, SNC-ER520, SNC-ER521, SNC-ER521C
索尼于11月28日针对所有受影响的摄像头产品发布了固件更新。从Censys.io搜索结果来看,大约有4000台索尼安全摄像头连接到互联网——这应该并不是所有用户数量。是否有所以摄像头感染恶意程序,目前仍不得而知。
要知道像Mirai这样的僵尸网络肆虐的当下,各种IoT设备,包括摄像头、路由器等本身都处在风险中。最近名为BestBuy的黑客还宣称已经控制了320万台家用路由器,并且将为这些路由器推送恶意固件升级。他甚至还扬言说:这些设备都是我们的,重启也没用。除非将设备扔到垃圾桶,否则僵尸犹在!IoT设备的安全问题已经到了全面爆发的时刻。
*参考来源:The Register,本文作者:Sphinx,转载请注明来自FreeBuf(FreeBuf.com)