针对旧型号海康威视摄像头漏洞的攻击尝试
我在我们的网络蜜罐日志中发现了一个新的URL,看起来有些意思:
/System/deviceInfo?auth=YWRtaW46MTEK
完整请求:
|
|
“auth"字符串引起了我的注意,特别是它后面跟着一个base64编码的字符串。该字符串解码后为admin:11。
这个"auth"字符串已经存在一段时间,涉及多个海康威视相关的URL。直到本周,这个特定的URL才达到我们报告中的阈值。到目前为止,“configurationFile” URL一直是最受欢迎的。它可能提供对额外敏感信息的访问。
攻击统计表
| 最早报告 | 最新报告 | 总报告数 | URL |
|---|---|---|---|
| 2018-08-18 | 2025-09-23 | 6720 | /System/configurationFile?auth=YWRtaW46MTEK |
| 2017-12-14 | 2025-09-23 | 2293 | /Security/users?auth=YWRtaW46MTEK |
| 2021-03-09 | 2025-09-23 | 2002 | /system/deviceInfo?auth=YWRtaW46MTEK |
| 2020-09-25 | 2023-02-04 | 727 | /security/users/1?auth=YWRtaW46MTEK |
| 2018-09-09 | 2025-09-23 | 445 | /onvif-http/snapshot?auth=YWRtaW46MTEK |
| 2017-10-06 | 2017-10-06 | 6 | /Streaming/channels/1/picture/?auth=YWRtaW46MTEKYOBA |
| 2025-04-09 | 2025-04-29 | 2 | /ISAPI/Security/users?auth=YWRtaW46MTEK |
通过谷歌搜索,我找到了CVE-2017-7921[1]。海康威视的公告很简略,没有指明特定的易受攻击URL[2]。但在我看来,这更像是某种暴力破解。CVE-2017-7921漏洞应该是某种后门(海康威视当时将其描述为"权限提升"被认为是一种委婉说法)。但我怀疑密码是"11”,而典型的海康威视默认密码要复杂得多(过去是"123456")。
我们之前多次写过关于海康威视的文章;它的摄像头以及大华等竞争对手的摄像头以其众多的安全漏洞、硬编码的"支持密码"和其他问题而闻名。这些摄像头的另一个问题是用户界面有限。用于从这些摄像头收集录像的DVR通常只包括鼠标和屏幕键盘,这使得选择合理的密码变得困难。这种攻击可能依赖于用户设置像"11"这样的简单密码,因为在某些型号上,默认只显示数字屏幕键盘。
另一个问题是在URL中使用凭据,这是不鼓励的,因为它们容易在日志中泄露。但这可能又是一个为了方便的决定,因为你可以创建自动登录的超链接。
[1] https://nvd.nist.gov/vuln/detail/cve-2017-7921 [2] https://www.hikvision.com/us-en/support/document-center/special-notices/privilege-escalating-vulnerability-in-certain-hikvision-ip-cameras/
– Johannes B. Ullrich, Ph.D., 研究院长, SANS.edu Twitter|
关键词: