Casi por casualidad he detectado una
vulnerabilidad que afecta a la web de administración de algunos
grabadores de vídeo (DVR) de cámaras IP expuestos en Internet por todo el mundo. Cuatro fabricantes distintos, 20 modelos de grabadores y 127 versiones de firmware afectadas. En total, centenares de productos vulnerables y
más de 12.000 dispositivos en la red, lo que equivaldría, aproximadamente, al acceso de
55.000 cámaras distintas y todo aquello que hayan grabado.
En septiembre del año pasado buscaba algún fallo que sirviera como
ejemplo y que me permitiese incluirlo como parte de la historia del libro "
Hacker Epico". Cuando dí con el, no le presté demasiada atención, ya que este tipo de dispositivos suelen tener una plaga de vulnerabilidades. Ahora que ya se publicó la novela y vuelvo a tener algo más de tiempo, me dio por profundizar un poco más y explorar el impacto que tenía aquel hallazgo. Desde luego, no imagine que fuera a ser tan significativo.
Un grabador de vídeo es un sistema, como el que se muestra en la imagen, que sirve para gestionar cámaras de vigilancia, generar alertas en base a patrones y grabar en archivos el contenido. Generalmente tienen varios canales, y en cada uno de ellos se conecta una cámara, que según el modelo varía entre 4, 6, 8, 16, etcétera.
 |
| Trozo (editado) de archivo "DVR.cfg" de ejemplo |
La vulnerabilidad es muy sencilla, usando un navegador y solicitando el archivo "/DVR.cfg", puedes descargarte la configuración del sistema sin necesidad de introducir credenciales. En esta configuración se guarda sin ningún tipo de cifrado el usuario y la contraseña de acceso a su configuración y otros datos, como por ejemplo las credenciales de acceso del correo, FTP, DDNS o PPPOE.
Con estos datos, la forma más sencilla, y sin necesidad de entrar al panel de administración, de ver lo que graban las cámaras, es accediendo a su versión móvil. Para ello, tan solo hay que abrir el archivo "/iphone.html", añadiendo a la URL el usuario y la contraseña. Por ejemplo: http://admin:admin@1.1.1.1/iphone.html. Aunque también es posible conectarse mediante el ActiveX del fabricante o utilizando un cliente RTSP.
Si se accede directamente usando el control del navegador, se visualizarán simultáneamente todas las cámaras .
 |
| Panel de control de administración de DVR (ActiveX) |
Una
búsqueda en shodan, con la pregunta exacta, revela que en la actualidad hay 46.889 direcciones IP con estos grabadores, de los que 12.667 son vulnerables.
 |
| Resultados de Shodan |
Después de analizar todos los resultados (con un nmap,
script en nmap y
perl para procesar los XML), he sacado muchos más datos. Como el número de apariciones por localización geográfica, siendo Taiwan el país donde más cacharros se han encontrado.
 |
| Grabadores de Vídeo vulnerables por país |
En cuanto a las
credenciales, la inmensa mayoría mantiene las que se entregan
por defecto de fábrica:
usuario admin, contraseña admin, así no se le olvida a nadie.
 |
| Uso de contraseñas en grabadores vulnerables |
Los fabricantes afectados que he encontrado son:
- Hunt CCTV (http://www.huntcctv.com/)
- Capture CCTV (http://www.capturecctv.ca/)
- Hachi CCTV
- NoVus CCTV (http://www.novuscctv.com/)
- Well-Vision Inc (http://well-vision.com/)
Los modelos de estos fabricantes:
- DVR-04CH, DVR-04NC, DVR-08CH, DVR-08NC, DVR-16CH (HuntCCTV)
- CDR 0410VE, CDR 0820VDE (CaptureCCTV-HuntCCTV)
- DR6-704A4H, DR6-708A4H, DR6-7316A4H, DR6-7316A4HL (HuntCCTV)
- HDR-04KD, HDR-08KD (unknown-HuntCCTV)
- HV-04RD PRO, HV-08RD PRO (Hachi-HuntCCTV)
- NV-DVR1204, NV-DVR1208, NV-DVR1216 (NovusSec)
- TW-DVR604, TW-DVR616 (Well Vision INC Solutions-HuntCCTV)
 |
| Distribución por modelos |
He encontrado en total 127 firmwares distintos con la vulnerabilidad, de forma resumida:
- 1.1.10 to 1.1.92
- 1.47 to 1.51
- 2.0.0 to 2.1.93
- 3.0.04 to 3.1.92
Toda la información ha sido reportada a HuntCCTV y tiene reservado el identificador CVE-2013-1391, pero desgraciadamente no han respondido. La vulnerabilidad también ha sido remitida al Grupo de Delitos Telemáticos de la Guardia Civil, quienes a su vez la han reportado al fabricante.
Para finalizar, mi amigo
Wiredrat, con el que he compartido muchas aventuras (asíncronas), ha hecho un
mapa interactivo (similar al de
TrendNET, solo que con 12.000 puntos en vez de 300) que muestra la
posición de los grabadores que se ven en Shodan y
genera automáticamente un enlace a la configuración (donde están las credenciales) y a la versión móvil de las cámaras. Pese a que avisa en la propia web, os recuerdo que
acceder tanto a la configuración como a la cámara , en la gran mayoría de países sería considerado un
delito. Incluso aunque sea haga con el usuario admin y contraseña admin, que tienen la gran mayoría de ellas :-P
11 comments :
OMG!!! Menudo filón! Estoy deseando llegar a casa y cotillear el mapa tranquilamente. Iba a hacerlo ahora, pero cuando me saltó el pop-up de advertencia me dio miedito xD
Bueno, te llamarán de T5, o de la MTV, porque hay una cámara en todo lo alto de Malibú, si no es la de Nicolas Cage (que creo que se la han embargado) seguro que la cámara de Long Beach si que es suya!
Joer, que divertido!
Voy a ver si veo las cámaras de vigilancia de algún "puti" .... (alguien lo había de decir)
Realmente es impresionante ver la cantidad de gente que mantiene las credencias por defecto.
Saludos
Hola!! En primer lugar enhorabuena por este articulo, muy interesante la vddad. Y en segundo lugar queria recomendaros la página de facebook de Zitralia. Yo la utilizo a diario para estar al día sobre seguridad informatica. Tambien tiene blog.- Espero que os sirva. Un saludo!
https://www.facebook.com/zitralia
Muy bueno Alex, divertido cuanto menos, el mapa se sale wiredrat!
Parece que no eres el único que está jugando con los DVR, acaban de publicar esto:
http://it.slashdot.org/story/13/01/29/0111238/58000-security-camera-systems-critically-vulnerable-to-attackers
Toma castaña!
voy a desarrollar un nuevo plugin para Argos (un framework de seguridad de camaras que hice el año pasado) , para que pueda detectar y listar estos servidores dvr. Con este será el cuarto plugin, La verdad es que da miedo todo este tema...
Gracias AR!
hace un año detectamos un puticlub en san peterburgo, y esa es la foto que se utiliza en @trendnetexposed como foto de perfil jajajaja
es muy divertido ]:D
Si se ponen a mirar hay gente que pone camaras de seguridad en sus comedores y deben estar re confiados que nadie los mira y que este tipo e cosas solo pasa en las peliculas jajaja
mientras tanto el banco nos sigue sacando dinero... pero yo por lo menos lo se!!
Amigo excelente esta información. donde puedo descargar el mapa...Gracias
Publicar un comentario