注意LFI破綻,撈取VelotiSmart WiFi攝影機密碼檔
- 發布單位:TWCERT/CC
- 更新日期:2019-04-02
- 點閱次數:583
CVE編號
內文
●概述:
無線網路攝影機VelotiSmart WiFi B-380,採用Unix環境,且內部建置uc-http service 1.0.0,囿於uc-httpd先天具有local file inclusion(LFI)及directory traversal兩類弱點,經Miguel Méndez Zúñiga分析,確認該型攝影機存在典型的本機檔案包含漏洞,攻擊者可直接經通信埠80,附掛特定字串 /../../etc/passwd ,對設備所在IP攻擊,採取http://192.168.x.x:80/../../etc/passwd 或類似方式,能撈取密碼檔、系統組態、無線網段掃描結果等資料,Veloti公司暫無安全更新公告。
●編註:
(1) uc-httpd 常見漏洞類型
在廣泛建置的IoT設備裡,常運用uc-httpd,它是一種HTTP daemon,主要發揮在監控攝影領域,影響數百萬台IP camera,然而uc-httpd本身具有local file inclusion(LFI)及directory traversal兩類弱點型態。Local file inclusion又稱本機檔案包含,是php指令碼一大特色,能控制包含的檔案參數,並利用 ../ 目錄遍歷,是極具威脅的典型漏洞,程式設計師在開發時圖個方便,常會用到包含,問題在於未對使用者可控參數進行輸入值過濾,導致攻擊者惡意控制被包含的檔案,從而獲取伺服器部分許可權。
例如在URL中,正常應輸入www.test.com/test.php?test=header.php,但刻意將 header.php 改成 ../../etc/passwd%00 ,則網址呈現www.test.com/test.php?test=../../etc/passwd%00,就能將 /etc/passwd 顯示在回應頁面,直接從目錄中讀取密碼檔案之內容,%00的用處是截斷字串檢查,在一般環境中,\0字元是不會被使用,因此可以禁止,但此法並非萬能,利用OS本身對於檔案名稱長度限制,可以獲致等效,阻止../ 字串重複出現擴充檔名。
(2) VelotiSmart WiFi攝影機探勘手法
由於VelotiSmart無線攝影機使用uc-http service 1.0.0,而uc-http服務元件先天具有LFI類性瑕疵,可透過目錄遍歷原理探勘本機內存放檔案,包括各類系統組態、無線網段掃描清單等,在該型攝影機連線時,以網域搭配port 80,如http://192.168.x.x:80/../../etc/passwd 模式,即可撈出重要密碼資料。
影響產品
解決辦法
相關連結
- https://medium.com/@s1kr10s/velotismart-0day-ca5056bcdcac
- https://cxsecurity.com/issue/WLB-2018070173
- https://ithelp.ithome.com.tw/articles/10160602
- https://itw01.com/G9DOEYD.html
- https://github.com/s1kr10s/ExploitVelotiSmart
- https://www.secnews24.com/2018/07/15/cve-2018-14064-the-uc-http-service-1-0-0-on-velotismart-wifi-b-
- https://vuldb.com/?id.121481
- https://www.exploit-db.com/exploits/42085/
- https://i.ytimg.com/vi/c6_kWuwuu8E/maxresdefault.jpg