birdpwn 嘶吼专业版
0x01 漏洞描述
在亚马逊的Blink XT2安全摄像头系统中发现了多个高危漏洞,如果利用这些漏洞,***者可以完全控制它们。
亚马逊的Blink XT2安全摄像头由无线摄像头和用户的监控系统组成。Tenable研究人员透露,这些缺陷可能使***者无需使用设备即可查看摄像机镜头,收听音频输出并劫持该设备以用于僵尸网络。亚马逊已收到有关漏洞的通知,并已推出补丁。
物联网设备制造商义务确保从一开始就将有效的安全性纳入整体设计中,而不是事后才考虑。当相关设备是安全摄像机时,这一点尤其重要。
Blink中披露了七个CVE。最严重的漏洞是源自同步模块更新(CVE-2019-3984)的命令注入漏洞,该漏洞存在于Blink的云通信端点中,用于为设备提供更新或获取网络信息。
当检查更新时,设备首先从Web获取更新帮助程序脚本(sm_update),然后立即运行该脚本的内容。检索更新的更新脚本无需任何验证就可以将数据直接远程地直接馈送到“ os.execute()”。
如果***者能够通过某种DNS投毒或劫持:https://usa.kaspersky.com/resource-center/definitions/dns,直接或间接间发出此请求,则他们可以修改此响应的内容。
研究人员能够劫持Blink同步模块上“ .server”变量的DNS查找,从而允许劫持用于“blink for home cloud endpoint>/fw/update_tls/<version number”的请求并返回他们自己的自定义响应(例如“echo “Update hijacked.” && id”)。然后将它们直接发送到/ root / apps / connection / start_get_sm_update中的“ os.execute”。
研究人员还发现了get_network()函数中的一个漏洞(CVE-2019-3989),该函数存在于设备上的其他帮助程序脚本中。/ root / apps / auth_gen / auth_gen中get_networks()函数接收到的外部输出未正确验证(在直接发送到“os.execute()之前),这可能导致具有root访问权的远程代码执行。
研究人员说:尽管在正常操作过程中似乎没有使用此函数,但由于用户操作不当,会存在另一个命令注入点。我们已手动触发了此函数,以验证此有缺陷的函数。
研究人员承认,虽然这两个漏洞“具有重大影响”,但更容易从已经连接到家庭网络的***者中加以利用。
Tenable的首席研究工程师Jimi Sebree对Threatpost说:“这些缺陷有可能被远程利用,但由于存在许多外部因素,因此利用可能不太大。”,“虽然能够毒害设备的DNS缓存,使设备以某种方式连接到***者控制的端点或控制更新服务器都是可能的,但它们涉及许多未知因素,这些因素使***变得不可靠。如果成功利用这些漏洞,***者将完全控制设备。”
0x02 其他漏洞
研究人员还披露了另外五个不太严重的漏洞,其中包括来自Blink中Wi-Fi配置参数的四个CVE,未能清理用户在某些内部管理脚本中提供的输入(CVE-2019-3985,CVE-2019-3986,CVE -2019-3987,CVE-2019-3988)。因为参数传递和执行时没有进行足够的清理,所以它允许以root用户身份进行命令注入。研究人员还披露了裸露的插头引脚中的缺陷,该缺陷可能允许串行连接同步模块,然后可以通过容易绕过的默认凭据对设备进行root访问(CVE-2019-3983)。
但是,“有关Wi-Fi配置参数的公开漏洞不太可能被恶意行为者滥用,因为它们需要在设备安装时访问这些参数。”,“这些漏洞以及不受保护的UART接口[CVE-2019-3983]更有可能被研究人员或修补滥用,而不是完全出于恶意的人滥用。”
Amazon已针对这些漏洞推出了补丁程序,并敦促用户确认其设备已更新至固件版本2.13.11或更高版本。
同时,研究人员说,消费者可以采取的最大措施就是保护自己的设备始终更新到最新版本,以保护自己免受这些漏洞的侵害。他们说:“由于Blink摄像头和同步模块连接到Blink云基础架构并与之通信的方式,因此通常自动更新并严格执行更新。”
0x03 学习总结
本来是不怎么看这种新闻文章的,但是这个摄像头漏洞还是值得学习的,现在的智能摄像头固件和客户端app上的漏洞越来越难以利用,但是云端通信漏洞危害还是比较大的,这个漏洞就是一例。
此漏洞存在于Blink的云通信端点中,用于为设备提供更新或获取网络信息。当检查更新时,设备首先从Web获取更新帮助程序脚本(sm_update),然后立即运行该脚本的内容。检索更新的更新脚本无需任何验证就可以将数据直接远程地直接发送到“ os.execute()”。
劫持用于“blink for home cloud endpoint>/fw/update_tls/<version number”的请求并返回***者的自定义响应。
引脚裸露导致允许串行连接同步模块,然后可以通过容易绕过的默认凭据对设备进行root访问,引脚得到一个root权限的shell。
参考来源:https://threatpost.com/amazon-blink-smart-camera-flaws/150962/