信息來源:FreeBuf
三星SmartCam是一系列基于云端服務(wù)的安全監(jiān)控?cái)z像頭,最初由Samsung Techwin研發(fā)。三星于2014年將旗下的這一部門出售給了韓華集團(tuán),并隨后更名為Hanwha Techwin,但目前該司的SmartCam系列產(chǎn)品依舊以“三星”冠名。該系監(jiān)控?cái)z像頭在智能家居產(chǎn)品中頗受歡迎,用戶可通過網(wǎng)絡(luò)攝像頭和手機(jī)應(yīng)用遠(yuǎn)程監(jiān)控家庭安全,亦可作為嬰兒監(jiān)視器使用。
由于過去幾年間該款產(chǎn)品的多種型號(hào)都被爆出過安全漏洞,Hanwha Techwin曾采取措施禁用了Web接口和SSH,只允許用戶通過手機(jī)APP和My SmartCam云服務(wù)來使用這款產(chǎn)品。這次,研究人員又注意到了一個(gè)可以啟用telnet和本地Web接口服務(wù)的方法。該漏洞由Exploiteers(前GTVHacker)首先發(fā)現(xiàn),黑客可以借此執(zhí)行遠(yuǎn)程命令注入獲得root權(quán)限并完全控制此類設(shè)備。
Exploiteers研究人員在最近對(duì)型號(hào)SNH-1011的SmartCam進(jìn)行測(cè)試時(shí),注意到了盡管該設(shè)備Web接口已被禁用,但仍留有一個(gè)Web服務(wù)器以及部分與iWatch(一項(xiàng)網(wǎng)絡(luò)攝像監(jiān)控服務(wù))有關(guān)的PHP腳本。其中一個(gè)腳本允許用戶通過上傳文件的方式更新iWatch,但由于沒有很好地執(zhí)行文件名檢查留下了一個(gè)隱患。攻擊者可以注入shell命令,由root權(quán)限的web服務(wù)器執(zhí)行。
“利用iWatch Install.php的漏洞,攻擊者通過構(gòu)建特定文件名,放在tar命令中傳遞給system()調(diào)用。”研究人員在上周六的博客中解釋道,
“由于web服務(wù)器以root權(quán)限運(yùn)行,而文件名由用戶提供,輸入沒有受到檢查,這樣就可以通過注入命令獲得root權(quán)限執(zhí)行遠(yuǎn)程代碼?!?
有意思的是,利用該漏洞可以啟用已被禁用的Web接口,而該接口移除至今一直令眾多用戶不滿。重開Web接口雖然使得用戶又能通過本地網(wǎng)絡(luò)監(jiān)控?cái)z像頭畫面而不必使用My SmartCam服務(wù),但此舉勢(shì)必會(huì)影響到那些本已平息的陳年漏洞。
一直以來,具有漏洞的的IP攝像頭都是黑客打造IoT僵尸網(wǎng)絡(luò)的理想目標(biāo)。在2014年第22屆DEF CON上,Exploiteers的研究人員展示了SmartCam的部分安全漏洞。這些漏洞可引起執(zhí)行任意代碼,更改產(chǎn)品設(shè)置甚至管理員密碼等問題。
第22屆DEF CON上的漏洞演示部分
就在幾個(gè)月前,Pen Test Partners也曾提交過關(guān)于此類產(chǎn)品的一系列安全問題。當(dāng)時(shí)研究者注意到了型號(hào)為SNH-6410BN的IP攝像頭仍留有SSH和Web服務(wù)器,給黑客提供了可能的后門。盡管這一次的漏洞是在SNH-1011中發(fā)現(xiàn)的,研究人員認(rèn)為SmartCam整個(gè)系列的產(chǎn)品都會(huì)受此影響。
目前Exploiteers已經(jīng)發(fā)布了此漏洞的POC(點(diǎn)擊查看)并提供了手動(dòng)修復(fù)指導(dǎo)方案。
本次漏洞的操作實(shí)例