首页 > 清静研究 > 清静转达 > 清静通告

视频监控系统保存后门危害通告

宣布时间 2020-02-06

误差编号和级别

CVE编号：暂无，，，，，，，，危险级别：高危，，，，，，，，CVSS分值：官方未评定

影响版本

https://github.com/tothi/pwn-hisilicon-dvr#summary

误差概述

近期，，，，，，，，俄罗斯清静专家Vladislav Yarmak宣布了在视频监控系统芯片中发明的后门的使用详情，，，，，，，，使用后门可以让攻击者获得目的装备中root权限的shell，，，，，，，，完全控制住装备。。。。。。。。

最新的固件版本虽然默认禁用了Telnet会见和调试端口（9527/tcp），，，，，，，，但翻开了9530/tcp端口，，，，，，，，可以通过向包括海思芯片装备的9530端口发送一系列特殊下令来使用后门。。。。。。。。这些下令可让攻击者在目的装备上启用Telnet效劳，，，，，，，，接着就可以使用以下六个默认Telnet凭证之一举行登录，，，，，，，，获得一个root权限的shell。。。。。。。。

凯发·k8(中国游)官方网站

后门激活流程如下：

1.客户端毗连目的装备的9530端口，，，，，，，，发送字符串OpenTelnet:OpenOnce，，，，，，，，该字符串前面要加上指示新闻长度的字节。。。。。。。。该办法关于以前版本的后门使用是最后一步。。。。。。。。若是此办法后没有响应，，，，，，，，则telneted效劳可能已经运行。。。。。。。。

2.效劳端（指装备）会回复randNum:XXXXXXXX，，，，，，，，其中XXXXXXXX是8位随机数字。。。。。。。。

3.客户端使用预共享密钥作为加密密钥，，，，，，，，配合随机数举行以下办法。。。。。。。。

4.客户端使用加密密钥加密随机数字，，，，，，，，附加在randNum:之后，，，，，，，，再在头部添加总长度的字节，，，，，，，，然后发送给效劳端。。。。。。。。

5.效劳端从/mnt/custom/TelnetOEMPasswd加载预共享密钥，，，，，，，，或直接使用默认密钥2wj9fsa2。。。。。。。。

6.效劳端对随机数举行加密，，，，，，，，并验证效果是否与客户端发送过来是否一样。。。。。。。。验证乐成回复verify:OK，，，，，，，，不然回复verify:ERROR。。。。。。。。

7.客户端加密字符串Telnet:OpenOnce，，，，，，，，前面带上总长度字节，，，，，，，，CMD:字符串，，，，，，，，然后发送给效劳端。。。。。。。。

8.效劳端解密出接受到的下令。。。。。。。。若是获得的效果即是字符串Telnet:OpenOnce，，，，，，，，就会回复Open:OK，，，，，，，，开启调试端口9527，，，，，，，，启动telnet效劳。。。。。。。。

误差验证

PoC：https://github.com/Snawoot/hisilicon-dvr-telnet。。。。。。。。

用法：./hs-dvr-telnet HOST PSK

其中PSK默认是2wj9fsa2

示例用法

凯发·k8(中国游)官方网站

修复建议

现在厂商还未修复误差，，，，，，，，可接纳暂时防御步伐：用户可以凭证需要限制对受影响装备的网络会见，，，，，，，，只允许受信任的用户举行会见。。。。。。。。

参考链接

https://habr.com/en/post/486856/

https://www.huawei.com/cn/psirt/security-notices/huawei-sn-20200205-01-HiSilicon-cn?from=timeline

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯发k8

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯发k8

清静研究

视频监控系统保存后门危害通告

关于凯发k8

解决计划

清静研究

联系凯发k8

7*24小时效劳热线