DAHUA : Backdoor mới được phát hiện?

Discussion in 'Blog công nghệ' started by Bruce Nguyen, 21/11/17.

  1. Bruce Nguyen

    Bruce Nguyen Administrator Staff Member

    Một cửa sau (backdoor) của Dahua mới phát hiện được mô tả bởi nhà nghiên cứu phát hiện ra nó:
    • Không phải là kết quả của một lỗi logic ngẫu nhiên hoặc thực hành lập trình kém, mà là một cửa hậu cố ý đưa vào sản phẩm của nhà cung cấp
    Một nhóm các nhà nghiên cứu thuộc NSA đã tìm thấy những chứng chỉ cứng này trong các sản phẩm của Dahua. Phát hiện này được The Washington Post và Fortune thu thập , nhưng những ấn bản này đã thất bại trong việc phân tích mức độ dễ bị tổn thương gần đây nhất của Dahua.
    IPVM đã nói chuyện với Terry Dunlap , Giám đốc điều hành của ReFirm , công ty nghiên cứu phát hiện lỗ hổng này, cũng như các đại diện từ Dahua, để phân tích tiềm năng tác động của nó. Nó sẽ là Mirai tiếp theo? Chi tiết sẽ được trình bày trong bài viết này.

    Tóm lược

    Một tên người dùng và mật khẩu có thể được sử dụng để tải phần mềm giả mạo lên các thiết bị bị ảnh hưởng, bỏ qua các phương pháp chứng thực chuẩn để kiểm soát việc nâng cấp phần mềm. Điều này cho phép kẻ tấn công nhúng mã của họ (ví dụ mã botnet theo kiểu Mirai) vào phần mềm tùy chỉnh và tải trực tiếp lên thiết bị Dahua. Tính dễ bị tổn thương rất dễ khai thác, mặc dù nó dựa vào một cổng cụ thể có thể truy cập từ xa (cổng 3800), điều này có thể giúp hạn chế tác động tổng thể.
    Dahua đã phát hành bản vá Firmware, thông qua thảo luận với công ty nghiên cứu.

    Tổng quan về tính dễ bị tổn thương

    Các thông tin được mã hóa cứng (User/Pass là dahua/dahua) đã được tìm thấy trong một dịch vụ được gọi là "nâng cấp", nghe trên cổng 3800 và được sử dụng để tự động cập nhật Firmware từ xa. Lỗ hổng đã được tìm thấy trong phiên bản phần mềm Dahua 2.240.0009, mặc dù nó không chỉ giới hạn trong phiên bản này. Chi tiết đầy đủ về tính dễ bị tổn thương được cung cấp trong Báo cáo lỗ hổng tháng 11 năm 2017 của ReFirm , bắt đầu từ trang 40.
    Hình dưới đây là ảnh chụp màn hình ReFirm được cung cấp từ các công cụ phân tích của họ cho thấy những thông tin đăng nhập được mã hóa cứng xuất hiện trong mã:
    [​IMG]
    Theo Dahua, tính dễ bị tổn thương chỉ có thể được sử dụng cho quá trình nâng cấp firmware và không thể được sử dụng để truy cập từ xa vào các thiết bị bị ảnh hưởng hoặc truy xuất dữ liệu người dùng.

    Khai thác tiềm năng cao

    Xác nhận lại những tuyên bố đã phát hiện ra bằng chứng khai thác ý tưởng, nơi họ có thể tải lên một Fimrware giả mạo bắt đầu một dịch vụ telnet không được thẩm định, cho phép truy cập với tư cách người dùng gốc (root) vào camera. Từ thời điểm này kẻ tấn công có thể cai trị toàn bộ camera, cho phép họ tạo ra một botnet kiểu Mirai mới, truy cập hoặc thay đổi dữ liệu khác trên máy ảnh, hoặc can thiệp vào hoạt động của nó. Những kẻ tấn công cũng có thể tải lên fimrware đã sửa đổi đã cài đặt các thành phần botnet, làm cho một botnet tồn tại suốt quá trình khởi động lại, điều mà Mirai ban đầu thiếu.

    Thiết bị bị ảnh hưởng

    Dahua đã đưa ra một Thông báo Bảo mật chỉ liệt kê 2 sản phẩm bị ảnh hưởng, hiện tại là 1 máy ảnh IP (IPC-HDW4300S) và 1 NVR (NVR11HS, mà Dahua chỉ bán ở Trung Quốc). Liên kết đến phần mềm cập nhật cũng được chứa trong thông báo bảo mật.

    Xác định lại các phòng thí nghiệm đã phát hiện ra lỗ hổng trong một phạm vi rộng hơn các sản phẩm, cho biết "Phân tích một số firmware khác từ nhiều mẫu camera Dahua cho thấy nhiều sản phẩm camera của Dahua có dịch vụ nâng cấp giống như này.

    Dahua tuyên bố "tất cả các sản phẩm được vận chuyển sau tháng 6 năm 2017 không bị ảnh hưởng", nhưng cũng cho biết họ vẫn đang kiểm tra các sản phẩm có phần mềm cũ. Dựa trên điều này, chúng tôi dự đoán danh sách các sản phẩm bị ảnh hưởng sẽ được cập nhật khi Dahua tiếp tục điều tra các thiết bị bị ảnh hưởng.

    Mức độ rủi ro trung bình

    Người dùng có thể không biết đến dịch vụ này trên cổng 3800, có nghĩa là sẽ không có các quy tắc chuyển tiếp cổng chuyển tiếp cho phép truy cập từ xa (trừ khi người dùng đặt thiết bị vào DMZ), hạn chế các cuộc tấn công chủ yếu đến mạng LAN cục bộ. Tuy nhiên, điều này cho thấy nguy cơ đối với các mối đe dọa nội bộ, hoặc người bên ngoài truy cập vào mạng LAN thông qua các phương tiện khác (mở wifi, các thiết bị bị xâm nhập ...) và tính dễ tổn thương này không được coi là lành tính bởi vì nó chủ yếu sẽ được sử dụng tại mạng Lan (Local).

    Khắc phục và tranh chấp

    ReFirm tuyên bố họ đã tải về và thử nghiệm Firmware từ liên kết Dahua cung cấp, và phát hiện ra các thông tin dahua/dahua cứng vẫn còn hiện diện, vì họ đã có thể khởi động nâng cấp firmware trên một thiết bị chạy phần mềm được cho là vá. Dahua tuyên bố họ đã không thể lặp lại các phát hiện của ReFirm và rằng cánh cửa đã được mã hóa cứng đã được gỡ bỏ khỏi phần mềm mới nhất. Vào thời điểm ấn bản này, Dahua đang cố liên lạc với ReFirm để biết thêm chi tiết về lỗ hổng vẫn còn tồn tại trong Firmware đã được công bố.

    Dahua phản ứng cải thiện

    Phản ứng của Dahua đối với báo cáo lỗ hổng này đã được xử lý tốt hơn các lỗ hổng tương tự trong quá khứ. Họ đã đáp ứng các câu hỏi từ IPVM để biết chi tiết và đã cập nhật thông báo bảo mật của họ khi họ đã tiến triển thông qua việc đánh giá tính dễ tổn thương. Phản hồi này cũng xảy ra khá nhanh sau khi lỗ hổng được công bố, vì ReFirm chỉ thông báo cho Dahua 2 ngày trước khi phát hành, không giống như một số thông tin mà nhà cung cấp được thông báo sớm 30-45 ngày để chuẩn bị trả lời.

    ReFirm Labs Research Startup

    ReFirm là một công ty nghiên cứu bảo mật dựa trên Baltimore, MD được thành lập bởi các nhà phân tích an ninh của cựu NSA. Gần đây, công ty đã nhận được khoản tài trợ 1,5 triệu đô la Mỹ và sử dụng các kết nối từ khoản tài trợ đó để quảng bá cho báo cáo phân tích đầu tiên của họ tới các cơ quan truyền thông khác như Fortune và The Washington Post.

    Công ty đã phát triển một sản phẩm được gọi là Centrifuge (Máy ly tâm) mà họ cho là có thể đánh giá Firmware cho các thiết bị IoT tự động để phát hiện các lỗ hổng như cửa sau (backdoor). ReFirm sẽ cấp phép cho phần mềm Centrifuge trong mô hình SaaS cho các nhà phát triển hoặc người dùng cuối muốn sử dụng nó để phân tích lỗ hổng tự động.
    Theo IPVM
     
  2. mấy ông tàu khựa hack xuốt nhỉ
     

Share This Page