數百萬台雄邁視頻監控設備被曝可通過不安全的雲功能輕鬆入侵

原標題：數百萬台雄邁視頻監控設備被曝可通過不安全的雲功能輕鬆入侵

安全研究機構SEC Consult公司在本周二（10月9日）發表的一篇博文中警告稱，他們已經確定了100多家供應商正在銷售通過中國杭州雄邁信息技術有限公司（以下簡稱「雄邁」）生產的視頻監控設備，而這些設備很容易因為不安全的雲功能（XMEye P2P Cloud）遭到黑客攻擊。

雄邁為什麼會受到關注？

雄邁創立於2008年，是一家總部位於中國浙江省杭州市富陽區銀湖科創中心的集安防視頻監控類產品研發、生產和銷售於一體的高科技企業，也是全球最大的視頻監控設備（監控攝像機、DVR數字視頻錄像機和NVR網路錄像機）製造商之一。

SEC Consult表示，之所以雄邁會引起他們的關注，是因為從2016年開始，Mirai殭屍病毒及其變種利用一個關鍵漏洞（即這些設備通過使用硬編碼憑證的TCP埠23和9527提供了高許可權的shell訪問）感染了數十萬台由雄邁製造的設備，並將這些受感染設備用作了迄今為止最大的分散式拒絕服務（DDoS）攻擊的一部分。

什麼是XMEye P2P Cloud?

所有由雄邁製造的設備都具有一個默認啟用的雲功能，名為「XMEye P2P Cloud」，允許用戶通過互聯網訪問他們的IP攝像頭、NVR或DVR。用戶可以使用各種XMEye應用程序（包括Android和iOS版本）連接到他們的設備，而所有連接均通過雄邁提供的雲伺服器基礎架構建立。

從可用性的角度來看，這項功能使得用戶與設備的交互更加容易，因為用戶在連接設備時無需與設備處於相同的網路下（例如，相同的Wi-Fi網路）。此外，路由器上不需要防火牆規則、埠轉發規則或DDNS設置，這使得這項功能也為非技術用戶提供了方便。

不過，SEC Consult表示，這種方法同時也會帶來幾種安全隱患：

• 首先，所有數據（例如，視頻流）都會發送給雲伺服器提供商。這往往會帶來一堆開放式問題——是誰在運行這些伺服器？是誰控制著這些伺服器？它們位於哪裡？它們是否屬於當地相關部門的管轄範圍？該服務是否符合《歐盟一般數據保護條例》（EU GDPR）？
• 其次，如果數據連接沒有進行加密，那麼也就意味著任何可以攔截連接的人都能夠監視所有交換的數據。
• 最後，「P2P Cloud」功能繞過了防火牆，允許用戶遠程連接到專用網路。這也就意味著攻擊者現在不僅僅可以攻擊暴露於網路中的設備，而且還可以攻擊通過「P2P Cloud」暴露的設備。

可預測的XMEye Cloud ID

那麼這個「XMEye Cloud ID」功能是如何在實踐中發揮作用的呢？每台設備都有一個唯一的ID，它被稱為Cloud ID或UID（如68ab8124db83c8db）。使用此ID，用戶可以通過XMEye應用程序連接到設備。

然而，SEC Consult發現雄邁設備的Cloud ID基於設備的MAC地址，因此它似乎並不具備很好的隨機性。相反，它具有一個明確定義的結構：3位元組OUI（ 供應商的組織唯一標識符）+3位元組NIC ID（介面ID）。這使得攻擊者可以很容易列舉出潛在的MAC地址或Cloud ID，並從找出有效的ID。

SEC Consult表示，他們在2018年3月份在每個OUI範圍內掃描了0.02％的設備（每個範圍內1600萬台設備）。基於掃描結果，他們推測在給定的OUI範圍內至少有900萬台雄邁設備在線：中國（5,438,000）、德國（1,319,000）、美國（742,000）、新加坡（697,000）、日本（577,000）和土耳其（189,000）。

未設密碼的默認管理員賬戶

如上所述，SEC Consult發現通過XMEye Cloud可以連接到數以百萬計的雄邁設備。當然，連接需要有效的憑證。但SEC Consult發現，所有新的XMEye帳戶都使用默認的管理員用戶名「admin」並且沒有設置密碼，最糟糕的是在安裝過程中並不需要用戶更改它。這個管理員賬戶提供了大量的許可權，如查看視頻流、更改設備配置，甚至是安裝固件更新。

除admin之外，默認情況下還存在一個名為「default」 的沒有被記錄的賬戶，它的密碼為「tluafed」。經過SEC Consult的驗證，這個賬戶同樣可用於通過XMEye Cloud登錄設備，並且至少具有訪問/查看視頻流的許可權。因此，即使用戶更改了管理員賬戶密碼，攻擊者也可以通過「default」賬戶來連接設備。

通過固件更新執行任意代碼

SEC Consult還發現了可以通過固件更新在雄邁設備上執行任意代碼的方法，這源於固件更新沒有簽名，這使得攻擊者可以創建包含惡意代碼的固件更新。SEC Consult表示，這可以通過修改固件更新中包含的文件系統或修改固件更新文件中的「InstallDesc」文件來實現。「InstallDesc」是一個文本文件，其中包含在更新期間執行的命令。

攻擊者可以通過XMEye Cloud來部署惡意固件更新。為此，攻擊者需要通過更改設備的DNS配置（XMEye API的一部分）來模擬雲更新伺服器「upgrade.secu100[.]net」，然後執行 XMEye Cloud API命令「H264_DVR_Upgrade_Cloud()」來使設備獲取並安裝惡意固件更新。

值得注意的是，以上這種方法允許攻擊者將惡意軟體持久地保存在設備的快閃記憶體中，即使重啟設備也無法清除。

都有哪些供應商受到影響？

SEC Consult表示，所有由雄邁製造的設備都存在這樣的安全隱患。不幸的是，僅知道這一點並沒有幫助，因為這些設備不會在任何地方提及「雄邁」（它不會出現在使用手冊、包裝盒、Web界面或DVR/NVR界面上）。這是因為熊邁只是作為OEM（代工），而不是品牌。

以上這種策略被稱為「 White label」，指的是一方負責提供產品，由另一方用自己的品牌進行銷售。從目前來看，SEC Consult已經找出了100多家使用雄邁硬體/固件的供應商，這包括：9Trading、Abowone、AHWVSE、ANRAN、ASECAM、Autoeye、AZISHN、A-ZONE、BESDER/BESDERSEC、BESSKY、Bestmo、BFMore、BOAVISION、BULWARK、CANAVIS、CWH、DAGRO、datocctv、DEFEWAY、digoo、DiySecurityCameraWorld、DONPHIA、ENKLOV、ESAMACT、ESCAM、EVTEVISION、Fayele、FLOUREON 、Funi、GADINAN、GARUNK、HAMROL、HAMROLTE、Highfly、Hiseeu、HISVISION、HMQC、IHOMEGUARD、ISSEUSEE、iTooner、JENNOV、Jooan、Jshida、JUESENWDM、JUFENG、JZTEK、KERUI、KKMOON、KONLEN、Kopda、Lenyes、LESHP、LEVCOECAM、LINGSEE、LOOSAFE、MIEBUL、MISECU、Nextrend、OEM、OLOEY、OUERTECH、QNTSQ、SACAM、SANNCE、SANSCO、SecTec、Shell film、Sifvision / sifsecurityvision、smar、SMTSEC、SSICON、SUNBA、Sunivision、Susikum、TECBOX、Techage、Techege、TianAnXun、TMEZON、TVPSii、Unique Vision、unitoptek、USAFEQLO、VOLDRELI、Westmile、Westshine、Wistino、Witrue、WNK Security Technology、WOFEA、WOSHIJIA、WUSONLUSAN、XIAO MA、XinAnX、xloongx、YiiSPO、YUCHENG、YUNSYE、zclever、zilnk、ZJUXIN、zmodo和ZRHUNTER。

雄邁被指沒有積極處理問題

SEC Consult在博文的最後部分指出，自2018年3月以來，他們一直都試圖通過 ICS-CER來反映問題。ICS-CERT也早已經與雄邁和中國國家互聯網應急中心（CNCERT/CC）取得了聯繫，並告知了他們這些問題。

現在，7個月的時間已經過去了，雄邁似乎仍然沒有解決任何問題。一些漏洞已經被公開披露，但這些漏洞在最新的固件版本中仍未被修復，這包括目錄遍歷漏洞CVE-2017-7577和各種緩衝區溢出漏洞（CVE-2017-16725和CVE-2018-10088）。

此外，SEC Consult還在博文中提供了多種如何識別自己的設備是否是由雄邁製造的方法，正在使用視頻監控設備的用戶可以去原文進行查看。

本文由 黑客視界 綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！