GeoVision产品中存在严重漏洞的时间超过半年

哈Ha!今天,我们要谈谈安全系统中发现的漏洞。这篇文章的原因是GeoVision产品中的软件有问题,它使您可以完全控制设备...安全!在这篇文章中,我们分析了哪些产品容易受到攻击,以及哪些固件版本仍使发现的漏洞利用处于打开状态。如果您使用该制造商的指纹扫描仪或安全摄像头,或者只是想知道GeoVision自2019年8月以来无法关闭哪些漏洞,请谨慎使用。



图片



如您所知,Acronis今天的活动重点在于全面的网络防御领域。因此,我们不仅提供直接的数据保护,而且还研究可能的威胁和漏洞。 Acronis CPOC自己的安全中心分析全球流量,我们的专家研究各种产品-软件和硬件。



其中一项研究涉及CISO Acronis Kevin Reed,安全系统研究员Alex Koshelev和高级安全系统研究员Ravikant Tiwari。我们的家伙发现了GeoVision产品中的4个漏洞,这些漏洞允许访问安全设备-IP摄像机和指纹扫描仪。



在例行安全审核中,发现具有管理员权限的后门可以管理设备,并且还发现相同的加密密钥已通过SSH协议重新用于身份验证。此外,攻击者有机会完全不用身份验证即可访问设备上的系统日志。最危险的漏洞是缺乏针对缓冲区溢出的保护,因此攻击者可能会完全控制设备。



最糟糕的是,这些漏洞早在2019年8月就被发现,并且根据道德标准,我们通知制造商并开始等待补丁发布以解决这些问题。但是,由于某种原因,制造商决定不急于修复它。



  • 2019 GeoVision
  • 2019 90-
  • 2019, , Singapore Computer Emergency Response Team (SingCERT). , SingCERT TWCERT
  • 2020 4 , … . GeoVision
  • TWCERT , GeoVision - .


图片

30.06.2020



哪些设备受到影响



检测到的漏洞至少影响六个设备型号,包括指纹扫描仪,门禁卡扫描仪和用于门禁系统的控制设备。这些是成千上万已安装和使用的安全系统,很容易受到欺诈者和网络犯罪分子的破坏。



Acronis研究人员研究了新加坡公司提供的设备(我们的CPOC位于新加坡)。但是,Shodan的列表中已经包括了可能被黑客入侵的设备,您可以查看Shodan追踪器,了解世界各地不同区域中危险设备分布。



图片



技术细节



如果您在工作中使用GeoVision设备,则应注意以下固件版本,该版本已确认存在漏洞:



1. GeoVision产品的未记录标准登录名和密码(CVE ID CVE-2020-3928的可用性

您可以使用以下固件通过标准用户名和密码远程登录GeoVision设备:





默认情况下,SSH服务器未在这些设备上运行。但是,设备管理控制台中存在一个隐藏的URL [https://设备设备3%3e / isshd.htm)。如果您单击此链接,则将在端口8009上启动Dropbear SSH服务。



是,您需要知道设备管理控制台的密码才能请求URL。但是,由于通常不会更改用于GeoVision设备的标准对(admin:admin),因此不难获得控制设备的根权限。



2.标准加密密钥(CVE ID CVE-2020-3929



GeoVision产品的许多固件使用有线标准加密密钥来通过SSH和HTTP连接:





由于任何人都可以获取加密密钥,因此存在中间人攻击的风险。



3.信息泄漏的危险(CVE ID CVE-2020-3930



固件GV-GF192x GF192x(http://www.geovision.com.tw/product/GV-GF1921%20GV-GF1922)版本1.10允许您通过Web界面访问协议,而没有任何复杂性。没有查看日志的授权。为此,只需点击以下链接:



[http://%3cip.of.the.device%3e/messages.txt]  [http://%3cip.of.the.device%3e/messages.old.txt]


图片



其他设备也很可能存在类似的安全漏洞。当然,您可以假设阅读协议不会构成很大的威胁。但是,在存在多个漏洞的情况下,研究设备的操作有助于最有效地计划攻击。



4.缓冲区溢出,允许完全访问设备



固件GV-GF192x(http://www.geovision.com.tw/product/GV-GF1921%20GV-GF1922)版本1.10提供了在设备上运行任意代码的可能性。同时,怀疑制造商的其他固件中可能存在相同的漏洞。

当转到地址/ usr / bin / port80(SHA256:5B531E50CFA347BBE3B9C667F8D802CDECC6B1CD270719DAC5ECE4CE33696D3A)时,可以安装自己的固件来破坏安全系统或安装间谍软件。这不需要任何身份验证。



该漏洞由CVSS评为10/10,因为它使您可以完全控制设备,重新编程协议并运行自定义命令。

利用该漏洞,用户可以溢出为主机标头提供的内存缓冲区。这样,您可以覆盖负责内存分配的结构。而且,如果攻击者更改此结构中的指针,则他可以传输自己的代码以执行。例如,此操作可能如下所示。



“Host: “ + free_space + pointer_to_new_heap(only first free bytes!) + “\r\n” + our_list_of_chunks + free_space.


代替“可用空间”,您可以放置​​自己的代码(我们的研究人员在内存中使用了第二部分的可用空间。因此,部分命令(“Host: “ + free_space + pointer_to_new_heap(only first free bytes!)进入g_Host缓冲区,并且覆盖下一个命令的指针。



真的很危险吗?



考虑到我们正在谈论应该负责人员安全的物联网设备,发现的漏洞确实使用户面临风险。如果利用了这些漏洞,可以使用GeoVision设备做什么?



  • 在不使用门禁卡的情况下远程关闭房间
  • 安装木马并监视各种网络流量
  • 跟踪用户并窃取他们的生物识别数据,同时完全不引起注意
  • 使用被盗的指纹进入其他门
  • 使用生物识别技术代表受害者进行交易并采取行动


缺乏尽快发布更新的愿望导致信息安全专家之间的误解。这再次证明,即使是为安全性而设计的物联网设备也不能保证真正的保护。而且,在我们的环境中出现越智能的设备(和潜在的后门),对集成网络防御的需求就越高,其中包括对付所有五个威胁媒介



All Articles