Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2017-7925, 7927] Dahua IoT 취약점
작성일 2017-12-01 조회 1301

 

 

개요

Dahua 의 DVR 이나 IP Camera 에서 계정 정보 노출 취약점이 존재한다.

 

해당 취약점은 current_config 경로에 대한 적절한 검증이 존재하지 않아 발생하며, 사용자 인증정보를 보유한 파일을 요청하여 악용 할 수 있다.

 

공격 성공 시, 인증을 없이 관리자로 접속이 가능하다.
 
 
확인 내역
해당 취약점에 대한 PoC가 공개 되었다.
 

[그림1. POC 내역]

 

취약점은 직접 파일 접근이 가능하여 발생한다.

2 개의 직접 파일 접근이 가능하다.
- /mnt/mtd/Config/{passwd | Account1} 위치에 있는 파일을 WEB에서 /current_config/{passwd | Account1} 요청하여 접근

 

현재 당사 허니넷에서 해당 취약점에 대해 지속적인 Scan 이 확인되고 있다.

 

또한 중국쪽에서 shodan 을 이용한 테스트도 진행된것으로 확인 된다.

 

[그림2. shodan 스크립트 내역 - https://johnniu.com/2017/10/15/camera-vul-exp/]

 
대응 방안
1) 해당 벤더사가 제공하는 최신의 펌웨어를 설치한다.
http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php


2) 당사 IPS 에서는 아래의 패턴으로 대응 가능하다.

[IPS WEBCGI] : 5967, Dahua DVR and IP Camera Credential Disclosure
[IPS WEBCGI] : 5968, Dahua DVR and IP Camera Credential Disclosure.A

 

3) Snort 룰은 SecureCAST에서 확인이 가능하다.
 
 
참조
https://github.com/mcw0/PoC/blob/master/dahua-backdoor-PoC.py
https://ipvm.com/reports/dahua-backdoor
https://ics-cert.us-cert.gov/advisories/ICSA-17-124-02
https://jvn.jp/vu/JVNVU98841854/index.html

https://johnniu.com/2017/10/15/camera-vul-exp/

첨부파일 첨부파일이 없습니다.
태그 CVE-2017-7925  CVE-2017-7927  Dahua  IoT