大华(Dahua)安防监控设备弱口令问题报告

1.更新情况

版本:第一版

时间:2015 / 04 / 02 下午

描述:第一版完成

2.问题概要

2015 年 2 月 27 日,江苏省公安厅发电,指出当前使用的杭州海康威视监控设备存在安全隐患,部分设备已经被境外 IP 地址控制。

据知道创宇安全研究团队的长期跟踪分析,海康威视等监控设备长期以来一直存在着多种严重的安全问题,并持续遭受着各类网络攻击,大量设备已被恶意攻击者、蠕虫所控制。由此设想国内知名安防设备厂商或许都存在类似问题,此份报告中将以浙江大华技术股份有限公司(以下简称:大华)出厂的安防监控设备为例,调查我国监控设备厂商涉及的安全问题。

2.1 问题描述

海康威视(Hikvision)监控设备在 2015 年年初时就曾被曝过后台弱口令漏洞,攻击者可以通过弱口令进入后台对设备进行查看或者配置。我们使用同样的方式检测大华安防监控设备,发现其与海康威视监控设备一样存在类似问题。

2.2 问题影响

大华安防监控设备,此次问题可能会影响到:开放 telnet23 端口的所有设备

2.3 问题验证

使用 telnet 命令登陆大华安防监控设备:

>>>测试案例 1:

使用简单账号密码 root/vizxv 轻而易举便能登陆 IP:60.170.**.** 监控设备:

▽使用弱口令登陆大华安防监控设备

▽使用弱口令登陆大华安防监控设备后

>>>测试案例 2:

使用简单账号密码 root/vizxv 便可登陆 IP:121.207.**.** 监控设备:

▽使用弱口令登陆大华安防监控设备

▽使用弱口令登陆大华安防监控设备后

3.ZoomEye 应急概要

海康威视安防监控设备在去年的时候就被曝过弱口令的安全问题和 3 个远程代码执行漏洞,引发了媒体的热度报道,并引起了国内公安机关的重视。大华安防监控设备在我国同样拥有着不少的用户量,其设备弱口令隐患所带来的安全危害,同样是不可忽视的。

来自知道创宇的 ZoomEye 团队(钟馗之眼网络空间探知系统)针对此次弱口令安全隐患,通过检测得到了些影响结论。根据 2015-03-30 的检测结果,显示境内存在弱口令的大华安防监控设备共有 16,465 个。

▽大华安防监控设备受弱口令安全问题影响的 IP 所归属运营商的比例:

从图中可以明显看出,受影响 IP 所涉及的运营商里中国电信占了绝大多数比例。

▽大华安防监控设备受弱口令安全问题影响的地域分布图:

▽大华安防监控设备受弱口令安全问题影响的地域分布 TOP10:


4.相关资源

1.知道创宇官网:

http://www.knownsec.com/

2.知道创宇旗下 - ZoomEye 官网:

http://www.zoomeye.org/


注:封面配图元素来源于网络