首页 > 清静研究 > 清静转达 > 清静通告

视频监控系统保存后门危害通告

宣布时间 2020-02-06

误差编号和级别

CVE编号：暂无，危险级别：高危，CVSS分值：官方未评定

影响版本

https://github.com/tothi/pwn-hisilicon-dvr#summary

误差概述

近期，俄罗斯清静专家Vladislav Yarmak宣布了在视频监控系统芯片中发明的后门的使用详情，使用后门可以让攻击者获得目的装备中root权限的shell，完全控制住装备。

最新的固件版本虽然默认禁用了Telnet会见和调试端口（9527/tcp），但翻开了9530/tcp端口，可以通过向包括海思芯片装备的9530端口发送一系列特殊下令来使用后门。这些下令可让攻击者在目的装备上启用Telnet服务，接着就可以使用以下六个默认Telnet凭证之一举行登录，获得一个root权限的shell。

尊龙凯时·(中国区)人生就是搏!

后门激活流程如下：

1.客户端毗连目的装备的9530端口，发送字符串OpenTelnet:OpenOnce，该字符串前面要加上指示新闻长度的字节。该办法关于以前版本的后门使用是最后一步。若是此办法后没有响应，则telneted服务可能已经运行。

2.服务端（指装备）会回复randNum:XXXXXXXX，其中XXXXXXXX是8位随机数字。

3.客户端使用预共享密钥作为加密密钥，配合随机数举行以下办法。

4.客户端使用加密密钥加密随机数字，附加在randNum:之后，再在头部添加总长度的字节，然后发送给服务端。

5.服务端从/mnt/custom/TelnetOEMPasswd加载预共享密钥，或直接使用默认密钥2wj9fsa2。

6.服务端对随机数举行加密，并验证效果是否与客户端发送过来是否一样。验证乐成回复verify:OK，不然回复verify:ERROR。

7.客户端加密字符串Telnet:OpenOnce，前面带上总长度字节，CMD:字符串，然后发送给服务端。

8.服务端解密出接受到的下令。若是获得的效果即是字符串Telnet:OpenOnce，就会回复Open:OK，开启调试端口9527，启动telnet服务。

误差验证

PoC：https://github.com/Snawoot/hisilicon-dvr-telnet。

用法：./hs-dvr-telnet HOST PSK

其中PSK默认是2wj9fsa2

示例用法

尊龙凯时·(中国区)人生就是搏!

修复建议

现在厂商还未修复误差，可接纳暂时防御步伐：用户可以凭证需要限制对受影响装备的网络会见，只允许受信托的用户举行会见。

参考链接

https://habr.com/en/post/486856/

https://www.huawei.com/cn/psirt/security-notices/huawei-sn-20200205-01-HiSilicon-cn?from=timeline

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

视频监控系统保存后门危害通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线