漏洞细节 |
漏洞POC |
漏洞EXP |
在野利用 |
有 | 无 | 无 | 无 |
漏洞名称 |
大华IP摄像机ONVIF漏洞 |
CVE编号 | CVE-2022-30563 |
漏洞类型 | 身份验证绕过 |
漏洞等级 | 7.4高危(High) |
公开状态 | 公开 |
时间线 | 由于受影响摄像头所有的ONVIF交互都是通过未加密的 HTTP进行,若攻击者可嗅探到之前ONVIF交互的凭证,则可在新的请求中重放该凭证,实现入侵网络摄像机 |
漏洞描述 |
2022年5月11日 CVE分配 2022年6月28日 公告发布 |
ONVIF规范中接受使用WS-UsernameToken验证,WS-UsernameToken依赖于以下数据验证请求:
·Username:认证用户的用户名
·Nonce:由客户端生成的随机的、唯一的数字
·Created:UtcTime发出请求的时间
·Password:认证用户的密码
标准规范要求Password非明文,被设置为一个哈希摘要,该机制可以帮助保护密码和预防重放攻击。生成算法为:
Digest = B64ENCODE( SHA1( B64DECODE( Nonce ) + Created + Password ) )
通过已认证的管理员账户demo_admin发送以下非更改状态的GetScope ONVIF请求:
第二次发送此相同请求时,设备再次回复了相同的响应;
使用不同IP,且在GetScopes请求完成约30小时后使用与之前完全相同的凭证,伪造一个偷偷添加管理员的请求CreateUsers,结果如下:
设备响应了该请求并创建了攻击者控制的管理员。可以通过这个新创建的帐户以完全控制设备,包括观看来自摄像机的实时画面,如下所示:
若要利用此漏洞,攻击者必须能够嗅探一个通过WS-UsernameToken模式认证的未加密ONVIF 请求。但这种情况并不少见,默认情况下,IPC-HDBW2231E-S-S2(与其他大华设备一样)所有ONVIF 交互都通过未加密的 HTTP 进行。许多流行的 ONVIF 客户端也仍然默认使用WS-UsernameToken,例如ONVIF Device Manager或DSE VMS。若这些设备被攻击者控制,可能成为攻击关键基础设施的立足点。
1.厂家已发布修复漏洞的补丁和固件,尽快升级到最新版本。
2.不要使用默认的WS凭证,并使用HTTPS进行安全连接。
联系我们,获取更多漏洞情报详情及处置建议,让企业远离漏洞威胁。
电话:18511745601
北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索,基于网络空间行为学理论及工业网络系统安全工程方法,围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势,为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展,坚持产品体系的自主可控,全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。截至2021年底,公司主要产品已应用于数千家“关基”企业,其中工业网络安全态势感知平台已部署4000余家客户,虚实结合工业网络靶场服务超过50家客户。
点击“在看”鼓励一下吧
原文始发于微信公众号(安帝Andisec):CVE-2022-30563:大华IP摄像机ONVIF漏洞分析