уязвимость веб интерфейса
|
|
bugmenot | Дата: Среда, 01.06.2022, 12:53 | Сообщение # 1 |
Группа: Проверенные
Сообщений: 34
Репутация: 0
Статус: Offline
| установлена камера DS-I425 крутит вертит показывает и тут случилось, в принципе ничего страшного, но всетаки.
страница входа в веб интерфейс камеры была заменена на пропагандисткую страницу, на скрине видно. в настройках камеры ничего не изменено, такое ощущение что работает бот который парсит камеры и которые с уязвимостью меняет страницу входа.
|
|
|
|
avalist | Дата: Среда, 01.06.2022, 18:56 | Сообщение # 2 |
Группа: Проверенные
Сообщений: 1089
Репутация: 85
Статус: Offline
| bugmenot,
по локальному ip тоже самое? могли роутер сломать а не камеру, я в принципе web интерфейс наружу не выставляю, только 8000 порт включена ли в камере api cgi ?
|
|
|
|
iTuneDVR | Дата: Среда, 01.06.2022, 21:16 | Сообщение # 3 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Пробовать штатный и не штатный сброс устройства и перепрошивку на версию без уязвимостей.
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
bugmenot | Дата: Пятница, 03.06.2022, 08:24 | Сообщение # 4 |
Группа: Проверенные
Сообщений: 34
Репутация: 0
Статус: Offline
| Цитата avalist ( ) по локальному ip тоже самое?могли роутер сломать а не камеру, я в принципе web интерфейс наружу не выставляю, только 8000 порт включена ли в камере api cgi и по внешнему и по локальному ИП одно и тоже, роутер сломать немогли ибо его нет(стоит фаервол прокси), 8000 порт наружу никогда не выставляю все порты имеют нестандартный формат даже http yf скрине видно не 80 а 8010, все API SNMP FTP платформы доступа - отключены.
как по мне это уязвимость самой прошивки камеры, скорее всего оставленная после или для дебага разработчиками.
hikvison по телефону признали уязвимость в прошивке 5,7 она устранена, но не для всех устройств данная прошивка есть.
|
|
|
|
iTuneDVR | Дата: Пятница, 03.06.2022, 12:13 | Сообщение # 5 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Цитата bugmenot ( ) как по мне это уязвимость самой прошивки камеры, скорее всего оставленная после или для дебага разработчиками. Прошивка по дате из уязвимых и зашли через http запрос со скрипта и получили шел на устройстве, а дальше .... Порты всегда можно отсканить, а дальше ...
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
Сообщение отредактировал iTuneDVR - Пятница, 03.06.2022, 12:16 |
|
|
|
avalist | Дата: Пятница, 03.06.2022, 18:55 | Сообщение # 6 |
Группа: Проверенные
Сообщений: 1089
Репутация: 85
Статус: Offline
| Цитата bugmenot ( ) 8000 порт наружу никогда не выставляю на этом порту меньше всего вероятность взлома, в отличии от http, то что порт меняете на нестандартный не поможет, как написал iTuneDVR, все сканится без проблем. Дело в сервисе, в данном случае http который и был успешно взломан. единственный минус 8000 порта это использование ivms или hik-connect, даже на древних прошивках не видел пока взломанных устройств.
Сообщение отредактировал avalist - Пятница, 03.06.2022, 18:56 |
|
|
|
iTuneDVR | Дата: Суббота, 04.06.2022, 15:57 | Сообщение # 7 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Цитата avalist ( ) единственный минус 8000 порта это использование ivms или hik-connect, даже на древних прошивках не видел пока взломанных устройств. Судя по описанию уязвимо стало после 5.2.0 как они так включили "отладку" для себя, чтобы без авторизации, ну и видимо "забыли"
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|