En

【威胁快讯】腾讯Tencent Blade Team首度公开,恶意代码威胁全球摄像头

作者:Tencent Blade Team公布时间:2018-09-25阅读次数:21693评论:1

分享

北京时间2018年9月18日, Tenable官网上公开了由京晨科技(NUUO)公司开发的NVRMini2设备管理系统存在缓冲区溢出漏洞(代号为Peekaboo,CVE-2018-1149)的相关公告,腾讯Tencent Blade Team云安全团队从2018-09-20 05:03:42 UTC开始,首次监控到互联网上有恶意代码正在利用此漏洞进行传播,据悉,该漏洞威胁到全球超过100个品牌的数十万款摄像头设备。

 

漏洞相关细节 


NVRMini2是由NUUO提供的一套兼具NAS功能的轻巧便携式NVR解决方案,广泛用于零售、交通、教育、政府和银行等行业。它所使用的web服务的公共网关接口协议(CGI)没有对cookie参数进行严格校验,这导致攻击者可以通过输入大量恶意代码,对sprintf函数进行堆栈缓冲区溢出攻击,最终可导致攻击者以root权限或管理员身份远程执行任意命令,包括访问当前视频流及历史存储文件,操纵设备进行挖矿、执行DDoS攻击命令等,为数据隐私和网络安全带来了极大威胁隐患。 


据公开资料显示,Peekaboo漏洞的影响范围较广,波及超过100个品牌、2500款不同型号的摄像头,以及数十万设备。目前在FOFA系统使用“NUUO-NVRmini”搜索,发现最新数据显示全球范围内共有19662个暴露在公网。其分布如下图所示:


其中美国、德国和日本使用最多。此外,攻击者也在模块中加入了SSH爆破,从而使木马能够蠕虫式传播,影响范围较大。 


攻击过程剖析 


• 恶意代码首先通过如下payload尝试让设备下载一个恶意的shell文件并执行。 



• worldwest.sh脚本分为两个模块,一个模块用于挖矿,另一个模块用于扫描传播。 



 
• 挖矿模块采用了Github中开源的挖矿木马,此处不再赘述。 




• 扫描模块中主要包含两个部分,cpconnectzmap*扫描80端口,利用Peekaboo漏洞二次传播,另一部分bruteforce_ssh__*则是对ssh服务进行爆破。 




IOC

 
• 目前捕获到的扫描源 



• 控制端C2 




• 样本MD5 




关于Tencent Blade Team 


Tencent Blade Team由腾讯安全平台部创立,专注于AI、移动互联网、IoT、云安全、无线电等国际范围内的前沿技术领域安全研究。 目前,Tencent Blade Team已报告了谷歌、苹果、Adobe等多个国际知名厂商70多个安全漏洞,得到互联网行业、厂商以及国际安全社区的广泛认可。未来,Tencent Blade Team将持续致力于为互联网与科技发展的保驾护航。 

评论留言

提交评论 您输入的漏洞名称有误,请重新输入