2018年10月12日,白帽汇安全研究院监测到网络上出现了最新雄迈云XMeye P2P云服务器出现内置硬编码账户漏洞。该漏洞是由于服务器被硬编码写入默认的的账户和密码,导致任意攻击者只需通过浏览器访问服务器的web管理页面,输入默认的账户和密码,即可接管设备。
杭州雄迈信息技术有限公司是中国知名的安防监控提供商。自从2009年初成立以来,经多年发展,已成长为员工总人数近3000人,研发人员600多人,拥有土地总面积超过100亩的超大公司。而此次爆出漏洞的云服务器并不是雄迈对外销售的单独产品,而是安防监控设备的必要组件,因此,所有暴露在外网的安防设备均有可能被该漏洞所影响。
雄迈在全球占据极大市场
雄迈的安防监控虽然占据全球巨大安防市场,但其从以前就不断爆出各种高危漏洞,包括文件泄露,弱密码,溢出漏洞等。而且由于其产品覆盖面极大,即使是低威漏洞,也会造成巨大的影响。此次漏洞设计设备极多,官方还未发布补丁,预计在今后的很长的一段时间将会对国际安防视频监控市场造成巨大冲击。
2015年就曾爆出高危漏洞,影响大量设备
概况
雄迈公司主打安防监控模组、主板、配套软件以及产品解决方案,包括:AHD同轴高清模组及主板、网络高清模组及主板、AHD/网络一体机芯、自动聚焦模组、消费类QQ物联模组,CMS、VMS、SNVR、myeye监控平台软件、云服务等等。一直以来雄迈力求完美、关注产量、苛求质量,产品具备高兼容性、高清晰度、高性价比、高行业性和高体验度。雄迈的产品和解决方案已经应用到全球各地,为安防行业众多厂家提供服务。
目前FOFA系统最新数据(一年内数据)显示全球范围内共有925732个雄迈的设备。越南使用数量最多,共有230109台,俄罗斯第二,共有59634台,英国第三,共有47827台,巴西第四,共有45611台,土耳其第五,共有43549台。白帽汇安全研究院抽样检测发现全球存在该硬编码密码漏洞的比例为百分之5.2。需要注意的是,还有很多处于内网的设备网站并不能统计的到。
全球范围内雄迈分布情况(仅为分布情况,非漏洞影响情况)
中国地区中辽宁省使用用数量最多,共有4582台;广东省第二,共有1838台,山东省第三,共有1566台,北京市第四,共有1492台,江苏省第五,共有1232台。
中国地区雄迈设备分布情况(仅为分布情况,非漏洞影响情况)
危害等级
严重
漏洞原理
CVE-2018-17919
漏洞原因在于云服务器中存在硬编码了某些内置账号。攻击者只要通过web端口访问控制页面,并使用default/tluafed 或者 default/空密码 即可登录设备管理页面。
某个存在漏洞的设备
从以往的僵尸网络以及DDos攻击来看,摄像头由于弱密码而被黑客控制,变成僵尸网络中的一员屡见不鲜。而此次雄迈云服务器的弱密码因为其总数量之多,修复难度较大,如果不迅速处理,很容易造成在全球范围形成大型僵尸网络,严重危害全球网络安全。
曾经引起极大反响的Mirai
在某些设备中,还存在目录遍历漏洞,这也因为硬编码账户的存在而降低了黑客的利用难度。
抽样发现外网的某台机器存在目录遍历漏洞
漏洞影响
目前漏洞影响版本号包括:
雄迈科技XMeye P2P云服务器(所有基于此的监控设备均有可能受影响)
影响范围
结合FOFA系统,白帽汇安全研究院抽样检测发现全球存在CVE-2018-17919漏洞的比例为百分之5.2。影响最严重的是俄罗斯。
漏洞POC
目前FOFA客户端平台已经更新CVE-2018-17919检测POC。
CVE-2018-17919 POC截图
XMeyeP2P云服务器目录遍历漏洞 POC截图
CVE编号
CVE-2018-17919
修复建议
1、通过设备串口修改内置的账号口令。
2、在补丁发布之前下线设备或者限制可访问的公网IP。官网下载地址:http://www.xiongmaitech.com/service/down/13
白帽汇会持续对该漏洞进行跟进。后续可持续关注https://nosec.org/home/detail/1893.html
参考
[1] https://ics-cert.us-cert.gov/advisories/ICSA-18-282-06
[2] https://ti.360.net/advisory/articles/advisory-of-cve-2018-17919/
[3] http://www.xiongmaitech.com/
[4] http://www.freebuf.com/articles/terminal/117927.html
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
文章原文链接:https://www.anquanke.com/post/id/162104