智能摄像头安全分析及案例参考(3)

通过对摄像头设备的分析，发现摄像头在正常工作时默认开放了如下端口。

其中80端口为web管理端，11010为数据转发端口。

而有些部署在互联网上的XX摄像头设备在开放一个web管理端外，也会开放11010端口进行录像机的管理。

使用zmap对全国IP进行扫描，发现中国境内IP开放了11010端口的服务器大约有3.5W个。

通过分析，在访问web管理时，服务器会返回如下信息，其中头信息Server: thttpd/2.25b 29dec2003可作为指纹进行摄像头识别：

通过web指纹对开放了11010端口的IP进行再次过滤，发现存在的主机有3800多个。

使用默认密码admin/123456对其中IP进了访问测试：

风险分析：

• 默认的、有特殊性的端口很容易被识别，导致设备被暴露在互联网上;
• 摄像头默认的弱口令比较方便用户记忆和管理，但也会给用户带来信息泄露的极大威胁。

5. 设备可被未授权控制

在摄像头联网时，对摄像头和云端的通信数据进行抓包分析，发现摄像头会先请求手机端服务器IP地址。

得到服务器IP地址后，进行数据传输测试。

在选择好服务器后，随后的音视频的传输使用了UDP协议。

而通过几次分析，发现在该数据流中摄像头还会发送配置信息给云端服务器。

其中包括了云端ID号码、端口、SMTP账号、密码等明文信息。在随后的修改密码测试时，通过手机端APP修改设备密码，发现了数据包格式为：

对data字符串进行分析：6a7ea9b5c000004a31b1add1515c000000860000000600000014000000000000000000000061646d696e0000000000000000000000000000003132333435360000000000000000000000000000b9dcc0edd4b1d5cabba700000000000000000000000000000000000000000000发现6a7ea9b5c000004a31b1add1之后的字符为控制字段和密码字段。编写脚本模拟云端对设备进行密码修改。

可成功将密码修改为123456789。随后的测试中，发现还可以控制摄像头重启或关机。

风险分析：

• 音视频流和控制数据流都使用了UDP进行传输，很容易实现中间人攻击，导致敏感信息泄露;
• 在监听到摄像头的通信数据后，很容易伪造数据进行摄像头密码修改、重启设备、控制云台;
• 在摄像头请求服务器IP地址的时候，发现系统使用了DNS解析域名，此时进行DNS欺骗可轻易劫持摄像头，进而对摄像头进行云台控制、关机、固件升级等非法控制管理。

6. 多个web服务器存在漏洞

在对摄像头进行安全检测的同时，不可避免的接触到web服务器，虽未进行针对性的测试，但仍发现一些问题，在此仅列举一二。

(1) 手机端官网存在s2-045命令执行漏洞

测试中发现IP为X.X.X.X的服务器存在Struts2-045漏洞。 其中xxx.com和xx.xxx.com两个域名解析到该服务器上，在其中一个服务器上存在struts2命令执行漏洞。

http://xx.xxx.com/xxx.do?deviceGuid=xxx，使用POC程序可直接执行系统命令。

执行whomai，使用了root用户。

查看shadow文件。

攻击者可以利用该漏洞轻易在远程服务器上执行任意系统命令，将会对受影响站点造成严重影响，引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。

(2) 云端ID号码可进行枚举

在摄像头官网提供了一个云端ID号码查询的接口http://www.xxx.com/xxx/Support.jsp?id=S12923021

该接口可直接查询所有的云端ID号码，并显示是否在线。

当设备不存在时，返回值rt=-1：

当设备离线时，返回rt=1，dsls=0;当设备在线时，rt=1，dsls=1.

根据返回值的不同即可进行云端ID号码的暴力枚举，使用枚举到的在线手机端设备，可使用默认密码尝试添加查看。

管理后台存在越权漏洞

（编辑：ASP站长网）