編者按：本文首發(fā)于微信公眾賬號凱奇哥，雷鋒網(wǎng)已獲授權轉載。

 羊年春晚大幕剛落，信息安全大戲即開唱。這兩天新聞媒體鋪天蓋地報道的海康設備被境外IP地址控制事件（堪稱“棱鏡門”事件第二），讓掙扎于年后綜合癥的國人們一下子又熱鬧開了?！袄忡R門”這個詞再次進入大眾視野。

事件起源于江蘇公安廳下發(fā)的一份名為《關于立即對全省?？低暠O(jiān)控設備進行全面清查和安全加固的通知》。文件指出海康威視的監(jiān)控設備存在嚴重安全隱患，部分設備已經(jīng)被境外IP地址控制。

實際上，早在2014年11月下旬，全球知名專業(yè)安全網(wǎng)站Security Street Rapid（https://community.rapid7.com/community/metasploit/blog/2014/11/19）就爆出了?？低暠O(jiān)控設備3個RTSP相關的致命安全漏洞，CVE編號為：CVE-2014-4878、CVE-2014-4879和CVE-2014-4880。這三個漏洞嚴重嗎？

通俗的講：只要知道?？低曄嚓P設備的IP地址，用任意電腦執(zhí)行一小段攻擊腳本，就可以完全讓其癱瘓，或者將其接管，甚至讓你在其設備上暢所欲為。這三個漏洞與?？低暯忉尩娜趺艽a原因沒有任何關系。

而自此事曝光一直到江蘇電文被傳出，海康才于15年2月28日在官方微信發(fā)布 《?？低曖槍Α霸O備安全”的說明》，而且把問題歸結于用戶密碼管理不當造成，解釋這幾個漏洞是因為設備登錄密碼太簡單導致黑客登錄攻擊。

為了說明此解釋有多么弱爆，筆者親自用海康設備做了驗證。通過實際測試，簡單的攻擊腳本就可以使其設備服務down機。如果攻擊者通過腳本進行循環(huán)攻擊，那該設備即便重啟，也無法恢復服務。

實際測試結果如下：

1、?？礑VR設備（2014年最新款，型號：HIK/DS-7804HGH-SNH/-AF-DVR-II-A/4-1）：

DVR V3.0.4 Build140923：

經(jīng)過測試，?？档腄VR最新款2個漏洞中招：

2、?？礜VR設備（2014年最新款，型號：DS-7108N-SN/P）：

NVR設備版本信息：

經(jīng)過測試，?？档腘VR最新款3個漏洞全部中招：

真正的原因分析：

 整個攻擊過程根本不涉及被攻擊對象的密碼口令，從何談口令是簡單還復雜！這三個漏洞都是由于海康威視監(jiān)控設備對RTSP（實時流傳輸協(xié)議）請求處理不當導致的高危級別的緩沖區(qū)溢出漏洞。通過該漏洞，攻擊者可以對設備進行DoS（拒絕服務）攻擊，導致監(jiān)控設備的視頻流異常，更嚴重的是，當攻擊者通過該漏洞植入代碼時，甚至可能直接獲取設備的最高權限，從而完全控制其在網(wǎng)絡上服務的監(jiān)控設備，過去好萊塢大片中的很多犯罪場景就可以變成現(xiàn)實了……

如果你還想了解更專業(yè)的，耐心聽小編來解釋計算機執(zhí)行指令的機制。計算機執(zhí)行的指令都在內(nèi)存中，本次爆出的3個漏洞都因?？低暠O(jiān)控設備在處理RTSP請求時，使用了固定的內(nèi)存緩沖區(qū)（往往是固定長度的數(shù)組）來接收用戶輸入，從而當用戶發(fā)送一個超過其可存儲長度的數(shù)據(jù)來請求時，請求數(shù)據(jù)覆蓋了固定數(shù)組以外的內(nèi)存空間，最終導致服務端緩沖區(qū)溢出。因為是溢出的內(nèi)存空間被覆蓋，因此當覆蓋的部分是攻擊者寫的惡意代碼時，惡意代碼就可以通過溢出來改變服務端的程序執(zhí)行流程，從而執(zhí)行任意代碼來操控設備。示意圖如下：

所以，對于海康威視2月28日的官方解釋，只要對網(wǎng)絡安全稍微有所了解的人，都能將其戳穿。這樣的解釋糊弄單個用戶還可以接受，但在官方渠道上做此番澄清，把問題踢回給用戶，著實令人瞠目結舌。筆者建議有?？低暠O(jiān)控設備的用戶，非常有必要做反攻擊驗證，或者讓廠商協(xié)助排查，否則安全隱患是極大的，一旦被利用，后果不堪設想。

涉及的?？翟O備范圍：

打開了554端口（RTSP實時流媒體協(xié)議）的所有?？翟O備。

三個漏洞的描述：

CVE-2014-4878：根據(jù)報告描述，其漏洞成因是在Hikvision的監(jiān)控設備處理RTSP請求時，使用了固定的緩沖區(qū)接受body，當攻擊者發(fā)送一個較大的body時，可能會產(chǎn)生溢出，致使服務crash等。

CVE-2014-4879：RTSP對請求頭的處理同樣也使用了固定大小的緩沖區(qū)，攻擊者可以構造一個足夠長的頭部來填滿緩沖區(qū)，產(chǎn)生溢出。

CVE-2014-4880：RTSP在對事務對基礎認證頭進行處理的時候，同樣由于使用了固定的緩沖區(qū)，導致攻擊者可通過構造來進行溢出，甚至執(zhí)行任意命令。

RTSP具體信息都可以查看RFC描述：http://www.ietf.org/rfc/rfc2326.txt

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。