海康威視（Hikvision）大規模代碼執行漏洞 數萬監控設備存風險

1. 更新情況

2014年11月19日，海康威視（Hikvision）監控設備被爆嚴重漏洞，具體編號爲CVE-2014-4878、CVE-2014-4879和CVE-2014-4880。這三個漏洞都是由於Hikvision監控設備對RTSP（實時流傳輸協議）請求處理不當導致的，通過該漏洞攻擊者可以對設備進行DoS，甚至直接獲取設備的最高權限。2. 漏洞概要

a) 漏洞描述

海康威視（Hikvision）監控設備在年初時就曾被爆過後臺弱口令漏洞，攻擊者可以通過弱口令進入後臺對設備進行查看或者配置。這次所爆出3個漏洞都因海康威視（Hikivision）監控設備在處理RTSP請求時，使用了固定的緩衝區來接收用戶輸入，從而用戶可發送一個更大的數據來進行請求，最終導致服務端緩衝區溢出。攻擊者可以通過溢出來改變服務端的程序執行流程，從而執行任意代碼。

有關RTSP協議的RFC文檔可以看這裏：

• 【http://www.ietf.org/rfc/rfc2326.txt】

漏洞信息相關：

• 【https://community.rapid7.com/community/metasploit/blog/2014/11/19/r7-2014-18-hikvision-dvr-devices–multiple-vulnerabilities】

根據Rapi7的報告，其漏洞觸發點都在RTSP協議的具體實現裏。

CVE-2014-4878：根據報告描述，其漏洞成因是在Hikvision的監控設備處理RTSP請求時，使用了固定的緩衝區接受body，當攻擊者發送一個較大的body時，可能會產生溢出，致使服務crash等。

CVE-2014-4879：RTSP對請求頭的處理同樣也使用了固定大小的緩衝區，攻擊者可以構造一個足夠長的頭部來填滿緩衝區，產生溢出。

CVE-2014-4880：RTSP在對事務對基礎認證頭進行處理的時候，同樣由於使用了固定的緩衝區，導致攻擊者可通過構造來進行溢出，甚至執行任意命令。

b) 漏洞影響

海康威視安防設備，此次漏洞可能會影響到：

• 啓用了RTSP（端口554）的設備。

c) 漏洞驗證

可以運行以下腳本來檢查設備是否存在此次漏洞（對開啓了RTSP的Hikvision監控設備進行測試），程序帶有攻擊性，請謹慎使用：

測試腳本（hikvision_rtsp_buffer_overflow_poc.py）：

執行腳本進行測試，如果通過向目標554端口發送惡意構造的payload，導致服務端緩衝區溢出，導致服務crash，但設備默認具有自啓動功能。因此利用此次漏洞，攻擊者可以對監控設備進行DoS攻擊。（再次提醒此測試腳本具有攻擊性，請謹慎使用）

以下是一些測試截圖：

• CVE-2014-4878測試：

• CVE-2014-4879測試：

• CVE-2014-4880測試：

有關CVE-2014-4880的利用，msf也給出了相應的攻擊模塊，其只對Hikvision-DS-7204-HVI-SV且固件爲V2.2.10 build131009的設備進行了測試。因設備的差異，導致shellcode可能不通用，因此要測試所有設備，還需對每種設備服務crash後的堆棧情況進行分析，構造出相應的shellcode。

msf攻擊測試模塊鏈接如下：

• 【https://github.com/mschloesser-r7/metasploit-framework/blob/master/modules/exploits/linux/misc/hikvision_rtsp_bof.rb】（此腳本具有攻擊性，請謹慎測試）

3. ZoomEye應急概要

此次爆出的海康威視（Hikvision）安防設備遠程代碼執行漏洞主要是因爲RTSP協議實現不當造成的，去年也曾爆過類似的洞（http://www.coresecurity.com/advisories/hikvision-ip-cameras-multiple-vulnerabilities），但好像並沒有引起重視。海康威視（Hikvision）安防設備在全球有着不小的用戶量，此次漏洞雖然只針對RTSP協議，但從小量的測試結果可以看出危害還是不能忽視的。

來自知道創宇的ZoomEye團隊（鍾馗之眼網絡空間探知系統）針對此次漏洞，通過幾種方式的檢測，得到了些影響結論。

注意：以下這些主機都是可被直接遠程攻擊的，屬於高危級別！

a) 第一組數據

2014/11/28

通過ZoomEye對海康威視（Hikvision）安防設備的第一個指紋進行搜索：“DVRDVS Webs”，從中隨機提取101條結果進行測試。

最終結果爲：

101個測試目標中，開放了RTSP（即554端口）的有58個；58個開放了RTSP的目標中，驗證成功的有57個，只有1個沒有驗證成功。

RTSP（即554端口）開放率：57.42%

測試成功率：98.27%

2014/11/29

通過ZoomEye對海康威視（Hikvision）安防設備的第二個指紋進行搜索：“Hikvision Webs”，從中隨機提取102條結果進行測試。

最終結果爲：

102個測試目標中，開放了RTSP（即554端口）的有27個；27個開放了RTSP的目標中，驗證成功的有25個，只有2個沒有驗證成功。

RTSP（即554端口）開放率：26.47%

測試成功率：92.59%

b) 第二組數據

2014/11/28

ZoomEye針對全國範圍內的海康威視（Hikvision）安防設備進行了掃描，得到的數據爲：

指紋	數量（臺）	開放了RTSP的設備數量（臺）	RTSP開放率
DVRDVS Webs	10911	4617	42.31%
Hikvision Webs	10869	2366	21.76%

（注：因此次漏洞可能導致DoS，所以並沒有進行大規模測試驗證）

從RTSP啓動的情況來看，全國大約有32.06%的海康威視安防設備開放了RTSP。

結合第一組數據得到的結果，可以推算出全國大約還有30.59%的海康威視安防設備可能受到被攻擊的危險。

2014/11/30

ZoomEye 團隊針對全國範圍內的 Hikvision 設備繪製了漏洞影響分佈圖。

從圖中可以明顯看出，江浙一帶的海康威視（Hikvision）安防設備分佈極其密集。

4. 相關資源鏈接

1. 知道創宇官網：【http://www.knownsec.com/】

2. 知道創宇旗下 – ZoomEye官網：【http://www.zoomeye.org/】

轉自：http://www.zmke.com/i/9112.html#comment