标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-2561] 作者: ecawen 发表于: [2020-02-07]
本文共 [481] 位读者顶过
更新:2020年2月6日,华为发表申明(https://www.huawei.com/cn/psirt/security-notices/huawei-sn-20200205-01-HiSilicon-cn?from=timeline),表示这个漏洞是个误会,已和发现者进行了沟通,漏洞和海思芯片无关。 [出自:jiwo.org] 近期,俄罗斯安全专家Vladislav Yarmak公布了在海思芯片中发现的后门的利用详情,出于信任原因,他在公布之前没有向供应商报告。 据称,利用后门可以让攻击者获得目标设备中root权限的shell,完全控制住设备。该专家随后还针对该漏洞发布了相关PoC代码。 该专家在之前并没有向海思公司透露这一漏洞,原因是他对该公司在漏洞处理方面缺乏信任。 海思是一家总部位于深圳的中国半导体公司,隶属于华为,也是中国最大的集成电路设计公司,其芯片被全球数以百万计的物联网设备所使用,包括安全摄像头、DVR和NVR。
在以前,其他安全专家也曾曝出过海思芯片中的后门。 根据安全人员的说法,针对最新版本的硬件,攻击者只需简单的手段就可以获得root权限的shell。 最新的固件版本虽然默认禁用了Telnet访问和调试端口(9527/tcp),但打开了9530/tcp端口,攻击者可以利用这个端口发送一个特殊的命令来启动Telnet守护进程,并使用某些固定密码([1]、[2]、[3])访问shell。 根据Yarmak发布的文章,最新的固件版本开放了9530/tcp端口,用于监听特殊命令,不过需要通过挑战响应验证身份。
“很明显,这些年来,海思不愿意或没有能力为同类型的后门进行及时修复,我认为这个后门是故意出现的。” Yarmak进一步表示,可以通过向包含HiSilicon芯片设备的9530端口发送一系列特殊命令来利用后门。这些命令可让攻击者在目标设备上启用Telnet服务,接着就可以使用以下六个默认Telnet凭据之一进行登录,获得一个root权限的shell。
后门激活流程如下: 1.客户端连接目标设备的9530端口,发送字符串OpenTelnet:OpenOnce,该字符串前面要加上指示消息长度的字节。该步骤对于以前版本的后门利用是最后一步。如果此步骤后没有响应,则telneted服务可能已经运行。 2.服务端(指设备)会回复randNum:XXXXXXXX,其中XXXXXXXX是8位随机数字。 3.客户端使用预共享密钥作为加密密钥,配合随机数进行以下步骤。 4.客户端利用加密密钥加密随机数字,附加在randNum:之后,再在头部添加总长度的字节,然后发送给服务端。 5.服务端从/mnt/custom/TelnetOEMPasswd加载预共享密钥,或直接使用默认密钥2wj9fsa2。 6.服务端对随机数进行加密,并验证结果是否与客户端发送过来是否一样。验证成功回复verify:OK,否则回复verify:ERROR。 7.客户端加密字符串Telnet:OpenOnce,前面带上总长度字节,CMD:字符串,然后发送给服务端。 8.服务端解密出接受到的命令。如果得到的结果等于字符串Telnet:OpenOnce,就会回复Open:OK,开启调试端口9527,启动telnet服务。 PoC代码链接:https://github.com/Snawoot/hisilicon-dvr-telnet 用法:./hs-dvr-telnet HOST PSK 其中PSK默认是2wj9fsa2 示例用法 $ telnet 198.51.100.23 Trying 198.51.100.23... telnet: Unable to connect to remote host: Connection refused $ ./hs-dvr-telnet 198.51.100.23 2wj9fsa2 Sent OpenTelnet:OpenOnce command. randNum:46930886 challenge=469308862wj9fsa2 verify:OK Open:OK $ telnet 198.51.100.23 Trying 198.51.100.23... Connected to 198.51.100.23. Escape character is '^]'. LocalHost login: root Password: 对用户来说,坏消息是,目前针对该后门没有可用的补丁,但PoC代码已公开。 Yarmak表示,考虑到海思之前对相关漏洞的修复,指望厂商提供补丁是不现实的。 作为临时防御措施,用户可以根据需要限制对受影响设备的网络访问,只允许受信任的用户进行访问。 从目前情况来看,已有几十个品牌和数百个型号易受到黑客攻击,他还提到了另一位研究人员之前的研究(其中列出了一些易受攻击的产品)。 |