针对海康威视旧型号摄像头漏洞的攻击尝试分析
攻击特征分析
在我们的网络蜜罐日志中发现了一个新的可疑URL:
|
|
完整的请求信息:
|
|
其中"auth"参数引起了我的特别注意,它后面跟着一个base64编码的字符串。该字符串解码后为admin:11。
相关攻击URL统计
| 最早报告时间 | 最新报告时间 | 总报告数 | URL |
|---|---|---|---|
| 2018-08-18 | 2025-09-23 | 6720 | /System/configurationFile?auth=YWRtaW46MTEK |
| 2017-12-14 | 2025-09-23 | 2293 | /Security/users?auth=YWRtaW46MTEK |
| 2021-03-09 | 2025-09-23 | 2002 | /system/deviceInfo?auth=YWRtaW46MTEK |
| 2020-09-25 | 2023-02-04 | 727 | /security/users/1?auth=YWRtaW46MTEK |
| 2018-09-09 | 2025-09-23 | 445 | /onvif-http/snapshot?auth=YWRtaW46MTEK |
漏洞背景
经过搜索,这些攻击与CVE-2017-7921漏洞相关。海康威视的安全公告较为简略,没有明确指出具体的易受攻击URL。但这看起来更像是某种暴力破解尝试。
CVE-2017-7921漏洞被认为是一种后门(当时海康威视将其描述为"权限提升"被认为是一种委婉说法)。但我怀疑密码是否为"11",典型的海康威视默认密码要复杂得多(过去使用过"123456")。
物联网设备安全问题
海康威视的摄像头以及大华等竞争对手的摄像头以其众多的安全漏洞、硬编码的"支持密码"和其他问题而闻名。这些摄像头的其中一个问题是有限的用户界面。用于从这些摄像头收集录像的DVR通常只包含鼠标和屏幕键盘,使得选择合理的密码变得困难。
另一个问题是在URL中使用凭据,这种做法不被推荐,因为它们容易在日志中泄露。但这可能又是一个为了方便而做出的决定,因为你可以创建自动登录的超链接。
参考资料
[1] https://nvd.nist.gov/vuln/detail/cve-2017-7921
[2] https://www.hikvision.com/us-en/support/document-center/special-notices/privilege-escalating-vulnerability-in-certain-hikvision-ip-cameras/