揭秘：海康威视的“棱镜门”不是弱密码问题

编者按：本文首发于微信公众账号凯奇哥，雷锋网已获授权转载。

 羊年春晚大幕刚落，信息安全大戏即开唱。这两天新闻媒体铺天盖地报道的海康设备被境外IP地址控制事件（堪称“棱镜门”事件第二），让挣扎于年后综合症的国人们一下子又热闹开了。“棱镜门”这个词再次进入大众视野。

事件起源于江苏公安厅下发的一份名为《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》。文件指出海康威视的监控设备存在严重安全隐患，部分设备已经被境外IP地址控制。

实际上，早在2014年11月下旬，全球知名专业安全网站Security Street Rapid（https://community.rapid7.com/community/metasploit/blog/2014/11/19）就爆出了海康威视监控设备3个RTSP相关的致命安全漏洞，CVE编号为：CVE-2014-4878、CVE-2014-4879和CVE-2014-4880。这三个漏洞严重吗？

通俗的讲：只要知道海康威视相关设备的IP地址，用任意电脑执行一小段攻击脚本，就可以完全让其瘫痪，或者将其接管，甚至让你在其设备上畅所欲为。这三个漏洞与海康威视解释的弱密码原因没有任何关系。

而自此事曝光一直到江苏电文被传出，海康才于15年2月28日在官方微信发布 《海康威视针对“设备安全”的说明》，而且把问题归结于用户密码管理不当造成，解释这几个漏洞是因为设备登录密码太简单导致黑客登录攻击。

为了说明此解释有多么弱爆，笔者亲自用海康设备做了验证。通过实际测试，简单的攻击脚本就可以使其设备服务down机。如果攻击者通过脚本进行循环攻击，那该设备即便重启，也无法恢复服务。

实际测试结果如下：

1、海康DVR设备（2014年最新款，型号：HIK/DS-7804HGH-SNH/-AF-DVR-II-A/4-1）：

DVR V3.0.4 Build140923：

经过测试，海康的DVR最新款2个漏洞中招：

2、海康NVR设备（2014年最新款，型号：DS-7108N-SN/P）：

NVR设备版本信息：

经过测试，海康的NVR最新款3个漏洞全部中招：

真正的原因分析：

 整个攻击过程根本不涉及被攻击对象的密码口令，从何谈口令是简单还复杂！这三个漏洞都是由于海康威视监控设备对RTSP（实时流传输协议）请求处理不当导致的高危级别的缓冲区溢出漏洞。通过该漏洞，攻击者可以对设备进行DoS（拒绝服务）攻击，导致监控设备的视频流异常，更严重的是，当攻击者通过该漏洞植入代码时，甚至可能直接获取设备的最高权限，从而完全控制其在网络上服务的监控设备，过去好莱坞大片中的很多犯罪场景就可以变成现实了……

如果你还想了解更专业的，耐心听小编来解释计算机执行指令的机制。计算机执行的指令都在内存中，本次爆出的3个漏洞都因海康威视监控设备在处理RTSP请求时，使用了固定的内存缓冲区（往往是固定长度的数组）来接收用户输入，从而当用户发送一个超过其可存储长度的数据来请求时，请求数据覆盖了固定数组以外的内存空间，最终导致服务端缓冲区溢出。因为是溢出的内存空间被覆盖，因此当覆盖的部分是攻击者写的恶意代码时，恶意代码就可以通过溢出来改变服务端的程序执行流程，从而执行任意代码来操控设备。示意图如下：

所以，对于海康威视2月28日的官方解释，只要对网络安全稍微有所了解的人，都能将其戳穿。这样的解释糊弄单个用户还可以接受，但在官方渠道上做此番澄清，把问题踢回给用户，着实令人瞠目结舌。笔者建议有海康威视监控设备的用户，非常有必要做反攻击验证，或者让厂商协助排查，否则安全隐患是极大的，一旦被利用，后果不堪设想。

涉及的海康设备范围：

打开了554端口（RTSP实时流媒体协议）的所有海康设备。

三个漏洞的描述：

CVE-2014-4878：根据报告描述，其漏洞成因是在Hikvision的监控设备处理RTSP请求时，使用了固定的缓冲区接受body，当攻击者发送一个较大的body时，可能会产生溢出，致使服务crash等。

CVE-2014-4879：RTSP对请求头的处理同样也使用了固定大小的缓冲区，攻击者可以构造一个足够长的头部来填满缓冲区，产生溢出。

CVE-2014-4880：RTSP在对事务对基础认证头进行处理的时候，同样由于使用了固定的缓冲区，导致攻击者可通过构造来进行溢出，甚至执行任意命令。

RTSP具体信息都可以查看RFC描述：http://www.ietf.org/rfc/rfc2326.txt

雷峰网版权文章，未经授权禁止转载。详情见转载须知。