Videoüberwachung und unsichere Hardware - keine gute Kombination
Ungeschützte live Feeds von Überwachungskameras findet man vermehrt im Internet. Meistens werden die Videos nicht nur gestreamt, sondern auch Aufgezeichnet. Die Aufzeichnungsgeräte haben oft einen Netzwerkanschluss und lassen bei Fehlkonfiguration Zugriffe auch aus dem Internet zu . Wir haben in einer Lösung zur Videoaufzeichnung hardgecodete Zugangsdaten vorgefunden. Der Hersteller hatte rasch auf unsere Meldung reagiert und ein Update zur Verfügung gestellt.
Im Rahmen eines Assessments sind wir auf den Netzwerkvideorecorder NVR-915 der Firma PLANET gestoßen. Bei der Analyse des Geräts sind wir auf hardgecodete Zugangsdaten in der Firmware gestoßen. Dadurch war ein root Login auf das Gerät via Telnet möglich. Somit war ein Vollzugriff auf das Gerät und in Folge dessen Zugriff auf das interne Netzwerk möglich. Da die Geräte NVR-915 und NVR-1615 eine ähnliche Firmware haben, betrifft die Lücke auch das NVR-1615 Modell.
Der Hersteller PLANET hatte innerhalb eines Tages auf unsere Meldung reagiert.
Innerhalb von 3 Wochen wurde uns vom Hersteller vorläufig das Update zugeschickt. Obwohl laut PLANET das Gerät schon End of Life (EOL) erreicht hat wurde die Lücke behoben und das entsprechende Update bereitgstellt. Im Rahmen des Updates wurde der Telnet Zugang vom Gerät deaktiviert.
Seitens MITRE wurde für diese Lücke die CVE Nummer CVE-2020-26097 zugewiesen.
Unserer Recherche nach gibt es zumindest 2 NVR-915 Geräte die offen im Internet erreichbar sind via telnet:
Die Entsprechenden Internet Service Provider (ISP) wurden informiert und gebeten die Information Ihren Kunden weiterzugeben.
Wir konnten keine NVR-1615 Geräte im Netz finden die via Telnet erreichbar waren.
Bei diesem Gerät handelt es sich um einen Videorekorder mit Netzwerkanschluss. Es läuft auf einer Embedded Plattform mit einem ARMv7 Prozessor und einem angepassten Linux namens HiLinux. HiLinux wird mittels BusyBox ausgeliefert, dadurch ist die Shell mit einem limitierter Befehlssatz ausgestattet. Programme lassen sich auch nicht einfach via Packetmanager installieren sondern müssen manuell für diese Plattform gebaut werden.
Der Hersteller stellt Firmware Updates als ZIP Dateien auf seiner Webpage zum Download zur Verfügung. Die ZIP Datei beinhaltet eine .pck Datei. Mittels des Tools binwalk haben wir aus dem Firmware Image ein YAFFS Dateisystem extrahiert. YAFFS steht für Yet Another Flash File System und ist speziell für Embedded Systeme entwickelt worden.
Bei der Analyse des Images konnten wir eine passwd Datei lokalisieren in der ein schwaches mittels
DES verschlüsseltes Passwort vorgefunden wurde.
Nachdem wir auf die Zugangsdaten extrahiert haben, ist unser Cracking Rig gestartet worden um das verschlüsselte Passwort mit Hilfe von hashcat zu knacken.
Nachdem das Passwort relativ schnell geknackt worden ist, haben wir es verifiziert in dem wir uns erfolgreich am Gerät via Telnet einloggen konnten: Am Gerät konnten wir nicht nur alle Daten einsehen sondern auch eine limitierte Meterpreter Version zum Laufen bekommen und eine Reverseshell starten.Streamende Kameras als auch aufzeichnendende Geräte müssen besser geschützt werden. Insbesondere sollte die Exponiertheit im Internet deutlich beschränkt werden. Sollten Sie die hier genannten Geräte verwenden, lesen Sie bitte das nachfolgende Advisory.
Der Hersteller hat vorbildlich reagiert und die Lücke trotz EOL des Geräts geschlossen. Wir wünschen uns das alle Hersteller so vorbildlich reagieren auf Meldungen von Sicherheitslücken.
Wir werden weitere Forschung in diesem Bereich betreiben. Aufgrund der hohen Verwantwortung gilt hier selbstverständlich das Responsible Disclosure Prinzip, das bedeutet, wir werden keine Schwachstellen veröffentlichen bevor diese behoben wurden bzw. eine entsprechende Frist vergangen ist.
Wir konnten zumindest zwei NVR-915 Geräte im Internet ausfindig machen, die verwundbar waren.
Auswirkung/Impact: Es ist ein Root Zugriff via Telnet auf das Gerät mittels hardgecodeten Zugangsdaten möglich. Insbesondere ist es möglich, mit Hilfe des Zugangs eigenen Code am Gerät auszuführen als auch Daten aus dem internen
Netzwerk zu exfiltrieren.
Wenn Sie den Videorekorder NVR-915 bzw. NVR-1615 von PLANET in Ihrem Netzwerk oder Ihrer Organisation verwenden, stellen Sie folgendes sicher:
We have identified at least two NVR-915 appliances on the internet that were vulnerable.
Impact: It is possible to gain full root access on the device. In case of logon with hardcoded credentials ,it might be further possible run own code on the device and exfiltrate data from the internal network.
If you are running this appliance in your organisation, try the following to identify if you are affected: