<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("AirLive IP,监控,命令,注入,影响") PageTitle=stripHTML("AirLive IP监控相机命令注入漏洞") ArticleIntro=stripHTML("大量AirLive IP监控摄像机被曝存在命令注入漏洞,攻击者可利用该漏洞窃取用户登录凭证并控制设备。") Articlecontent=stripHTML(" 漏洞原理及影响范围OvisLink公司制造的大量AirLive IP监控摄像机中都存在着命令注入漏洞,通过该漏洞,网络攻击者可以解码用户登录凭证,并可以完全控…") ModuleName = stripHTML("exploits") InfoID = stripHTML("205018") ChannelShortName=stripHTML("漏洞") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("exploits") %> AirLive IP监控相机命令注入漏洞 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 漏洞 >> 最新漏洞 >> 其它漏洞 >> 正文

[组图]AirLive IP监控相机命令注入漏洞

2015/7/8 作者:JackFree 来源: 网络收集
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

 漏洞原理及影响范围

OvisLink公司制造的大量AirLive IP监控摄像机中都存在着命令注入漏洞,通过该漏洞,网络攻击者可以解码用户登录凭证,并可以完全控制监控设备。根据Core安全公司的专家们的消息,至少5种不同型号的AirLive监控摄像机都受此漏洞的影响。这5种型号的监控摄像机分别如下:

1、AirLive BU-2015,固件版本1.03.18 16.06.2014
2、AirLive BU-3026,固件版本1.43 21.08.2014
3、AirLive MD-3025,固件版本1.81 21.08.2014
4、AirLive WL-2000CAM,固件版本LM.1.6.18 14.10.2011
5、AirLive POE-200CAM v2 ,固件版本LM.1.6.17.01

研究人员Nahuel Riva解释道,AirLive摄像机MD-3025、BU-3026和BU-2015都受命令注入漏洞的影响,该漏洞存在于二进制文件cgi_test.cgi中。如果摄相机主人并没有将默认配置改变为强制使用HTTPS,那么攻击者将可以在未经身份认证的情况下请求该文件,而其实现方式就是通过注入任意命令到操作系统中。通过这种攻击,黑客可以访问由AirLive相机管理的所有信息,包括MAC地址、模型、硬件和固件版本以及aiother敏感细节。发布的博文中陈述道:

“在处理某些特定参数时,AirLive MD-3025、BU-3026和BU-2015内的二进制文件cgi_test.cgi中存在一个操作系统命令注入漏洞[CVE-2015-2279],这将导致在未经身份认证的情况下可以请求这一特定CGI文件,除非用户修改了特定相机的配置情况,使该相机的每一个通信连接都必须通过HTTPS方式进行(默认未开启)。受影响的参数包括如下几个:write_mac、write_pid、write_msn、write_tan、 write_hdv。”

另外两种相机WL-2000CAM和POE-200 CAM,同样存在CGI文件中类似的漏洞,该漏洞允许运行一个命令注入操作。而AirLive相机的这两种型号中都对登录凭证进行了硬编码,这就使得攻击者可以很容易地检索并解码该凭证。

AirLive WL-2000CAM和POE-200 CAM中的二进制文件/cgi-bin/mft/wireless_mft.cgi中包含一个操作系统命令注入漏洞(CVE-2014-8389),通过使用硬编码的证书救可以利用该漏洞,该证书存在于嵌入式web服务器Boa的配置文件中:
username: manufacture
password: erutcafunam

漏洞POC

下面的POC复制了web服务器root目录下的文件,该文件中包含了硬编码的用户凭证:

<a href="
http://<Camera-IP>/cgi-bin/mft/wireless_mft?ap=testname;cp%20/var/www/secret.passwd%20/web/html/credentials">http://<Camera-IP>/cgi-bin/mft/wireless_mft?ap=testname;cp%20/var/www/...</a>

然后,可以通过以下请求来获取到用户凭证:

<a href=
"http://<Camera-IP>/credentials"
>http://<Camera-IP>/credentials</a>