1. 更新情況

2014年11月19日，海康威視（Hikvision）監控裝置被爆嚴重漏洞，具體編號為CVE-2014-4878、CVE-2014-4879和CVE-2014-4880。這三個漏洞都是由於Hikvision監控裝置對RTSP（實時流傳輸協議）請求處理不當導致的，通過該漏洞攻擊者可以對裝置進行DoS，甚至直接獲取裝置的最高許可權。2. 漏洞概要

a) 漏洞描述

海康威視（Hikvision）監控裝置在年初時就曾被爆過後臺弱口令漏洞，攻擊者可以通過弱口令進入後臺對裝置進行檢視或者配置。這次所爆出3個漏洞都因海康威視（Hikivision）監控裝置在處理RTSP請求時，使用了固定的緩衝區來接收使用者輸入，從而使用者可傳送一個更大的資料來進行請求，最終導致服務端緩衝區溢位。攻擊者可以通過溢位來改變服務端的程式執行流程，從而執行任意程式碼。

有關RTSP協議的RFC文件可以看這裡：

• 【http://www.ietf.org/rfc/rfc2326.txt】

漏洞資訊相關：

• 【https://community.rapid7.com/community/metasploit/blog/2014/11/19/r7-2014-18-hikvision-dvr-devices–multiple-vulnerabilities】

根據Rapi7的報告，其漏洞觸發點都在RTSP協議的具體實現裡。

CVE-2014-4878：根據報告描述，其漏洞成因是在Hikvision的監控裝置處理RTSP請求時，使用了固定的緩衝區接受body，當攻擊者傳送一個較大的body時，可能會產生溢位，致使服務crash等。

CVE-2014-4879：RTSP對請求頭的處理同樣也使用了固定大小的緩衝區，攻擊者可以構造一個足夠長的頭部來填滿緩衝區，產生溢位。

CVE-2014-4880：RTSP在對事務對基礎認證頭進行處理的時候，同樣由於使用了固定的緩衝區，導致攻擊者可通過構造來進行溢位，甚至執行任意命令。

b) 漏洞影響

海康威視安防裝置，此次漏洞可能會影響到：

• 啟用了RTSP（埠554）的裝置。

c) 漏洞驗證

可以執行以下指令碼來檢查裝置是否存在此次漏洞（對開啟了RTSP的Hikvision監控裝置進行測試），程式帶有攻擊性，請謹慎使用：

測試指令碼（hikvision_rtsp_buffer_overflow_poc.py）：

執行指令碼進行測試，如果通過向目標554埠傳送惡意構造的payload，導致服務端緩衝區溢位，導致服務crash，但裝置預設具有自啟動功能。因此利用此次漏洞，攻擊者可以對監控裝置進行DoS攻擊。（再次提醒此測試指令碼具有攻擊性，請謹慎使用）

以下是一些測試截圖：

• CVE-2014-4878測試：

• CVE-2014-4879測試：

• CVE-2014-4880測試：

有關CVE-2014-4880的利用，msf也給出了相應的攻擊模組，其只對Hikvision-DS-7204-HVI-SV且韌體為V2.2.10 build131009的裝置進行了測試。因裝置的差異，導致shellcode可能不通用，因此要測試所有裝置，還需對每種裝置服務crash後的堆疊情況進行分析，構造出相應的shellcode。

msf攻擊測試模組連結如下：

• 【https://github.com/mschloesser-r7/metasploit-framework/blob/master/modules/exploits/linux/misc/hikvision_rtsp_bof.rb】（此指令碼具有攻擊性，請謹慎測試）

3. ZoomEye應急概要

此次爆出的海康威視（Hikvision）安防裝置遠端程式碼執行漏洞主要是因為RTSP協議實現不當造成的，去年也曾爆過類似的洞（http://www.coresecurity.com/advisories/hikvision-ip-cameras-multiple-vulnerabilities），但好像並沒有引起重視。海康威視（Hikvision）安防裝置在全球有著不小的使用者量，此次漏洞雖然只針對RTSP協議，但從小量的測試結果可以看出危害還是不能忽視的。

來自知道創宇的ZoomEye團隊（鍾馗之眼網路空間探知系統）針對此次漏洞，通過幾種方式的檢測，得到了些影響結論。

注意：以下這些主機都是可被直接遠端攻擊的，屬於高危級別！

a) 第一組資料

2014/11/28

通過ZoomEye對海康威視（Hikvision）安防裝置的第一個指紋進行搜尋：“DVRDVS Webs”，從中隨機提取101條結果進行測試。

最終結果為：

101個測試目標中，開放了RTSP（即554埠）的有58個；58個開放了RTSP的目標中，驗證成功的有57個，只有1個沒有驗證成功。

RTSP（即554埠）開放率：57.42%

測試成功率：98.27%

2014/11/29

通過ZoomEye對海康威視（Hikvision）安防裝置的第二個指紋進行搜尋：“Hikvision Webs”，從中隨機提取102條結果進行測試。

最終結果為：

102個測試目標中，開放了RTSP（即554埠）的有27個；27個開放了RTSP的目標中，驗證成功的有25個，只有2個沒有驗證成功。

RTSP（即554埠）開放率：26.47%

測試成功率：92.59%

b) 第二組資料

2014/11/28

ZoomEye針對全國範圍內的海康威視（Hikvision）安防裝置進行了掃描，得到的資料為：

（注：因此次漏洞可能導致DoS，所以並沒有進行大規模測試驗證）

從RTSP啟動的情況來看，全國大約有32.06%的海康威視安防裝置開放了RTSP。

結合第一組資料得到的結果，可以推算出全國大約還有30.59%的海康威視安防裝置可能受到被攻擊的危險。

2014/11/30

ZoomEye 團隊針對全國範圍內的 Hikvision 裝置繪製了漏洞影響分佈圖。

從圖中可以明顯看出，江浙一帶的海康威視（Hikvision）安防裝置分佈極其密集。

4. 相關資源連結

1. 知道創宇官網：【http://www.knownsec.com/】

2. 知道創宇旗下 – ZoomEye官網：【http://www.zoomeye.org/】