本周二(5月1日),一名阿根廷安全研究人员Ezequiel Fernandez发布了一款功能强大的新型黑客工具,可以轻松地提取各种数字视频录像机(DVR)品牌的明文凭证,并授予攻击者访问这些系统的权限,本质上来说就是允许用户随意查看DVR录制的视频记录。
该工具名为“getDVR_Credentials”,是CVE-2018-9995的概念验证(proof-of-concept,简称PoC),而CVE-2018-9995是Fernandez于上月初发现的一个安全漏洞。
CVE-2018-9995——所有人都忽视的高危漏洞
Fernandez发现,通过具有“Cookie:uid = admin”的Cookie标头来访问特定DVR的控制面板,该DVR将以明文形式响应设备的管理员凭据。整个漏洞利用过程足够小,甚至可以通过推文进行发布:
\$> curl "http://{DVR_HOST_IP}:{PORT}/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"
最初,Fernandez发现CVE-2018-9995漏洞仅影响TBK制造的DVR设备,但在周一发布的最新报告中,研究人员又将易受攻击设备的列表扩大到包含由其他几家供应商所制造的系统,其中大部分看似是在销售原版TBK DVR4104和DVR4216系列的更名版本,包括:
· Novo
· CeNova
· QSee
· Pulnix
· XVR 5 in 1
· Securus
· Night OWL
· DVR Login
· HVR Login
· MDVR Login
成千上万台易受攻击的设备在线暴露
研究人员估算了易受攻击设备的数量至少有几万台。Fernandez使用Shodan搜索引擎获取到的扫描结果屏幕截图显示,超过55,000台易受攻击的DVR设备在线暴露;而另一项搜索结果则显示,有超过1万台DVR设备在线暴露。
Fernandez还发布了一些通过利用CVE-2018-9995及其工具获取到的设备屏幕截图。根据这些屏幕截图显示,Fernandez可以完全访问这些DVR设备的设置面板,同时也可以观看实况视频。
过去也曾有一些网站利用安全漏洞来聚合被黑客入侵的安全摄像头或者DVR录制的视频,因此Fernadez开发的这款工具可能会推动一波类似门户网站的风潮。
漏洞已被确认 但尚未发现攻击活动
本周三(5月2日),Bleeping Computer向一些安全研究人员获取了有关该工具的工作状态和功效的评估报告。
其中,专注于物联网安全的网络安全公司NewSky Security的首席安全研究员Ankit Anubhav表示,
我已经对代码进行了验证,并且发现脚本能够顺利地完成广告宣传中其所描述的工作内容,按下按钮就能为各种DVR模型提供明文凭证。此外,之前提到的Shodan dorks还为获取漏洞利用所需的潜在设备列表提供了一个准确的来源,为攻击者最重要的两个问题(‘攻击谁’以及‘如何攻击’)提供了答案。