近20万WiFi监控摄像头存在远程代码执行漏洞，可随意组建僵尸网络

Pierre Kim通过Full Disclosure发布的安全公告披露，影响18.5万Wi-Fi监控摄像头的安全漏洞暴露在网上，随时会被黑客和诈骗者利用。

设备主要受到以下漏洞影响：

后门账户
RSA密钥和认证
GoAhead http服务器内预授权信息泄漏（凭证）
认证RCE（远程命令执行）作为root
预授权RCE（远程命令执行）作为root
未经认证的Misc – Streaming、Misc – “Cloud”（又名僵尸网络）

定位Wi-Fi监控摄像头的安全漏洞只需要简单地运用一个搜索引擎，如Shodan，利用Kim使用的查询命令发现脆弱设备：

地址：https://www.shodan.io/search?query=GoAhead+5ccc069c403ebaf9f0171e9517f40e41

在编辑本文时已经发现204546个查询结果，据悉，该漏洞可以被网络罪犯用于组建僵尸网络，继而进行多种非法活动。

最令人不安的是，Wi-Fi监控摄像头中运行的一个用来配置FTP的CGI脚本受到一个远程代码执行漏洞影响，而该漏洞在2015年就已经被发现，是的，两年前的漏洞。

想要浏览.cgi文件，攻击者也需要进行验证：

user@kali$ wget -qO- ‘http://192.168.1.107/get_params.cgi?loginuse=BAD_LOGIN&loginpas=BAD_PASS’
 var result=”Auth Failed”;
 user@kali$ wget -qO- ‘http://192.168.1.107/get_params.cgi?loginuse&loginpas’
 var result=”Auth Failed”;

根据Kim所言，访问.ini文件时的认证程序并不严谨，攻击者只要提供一个空loginuse或是在URI中提供一个空loginpas就能绕过身份验证。攻击者可以利用这一漏洞，作为root用户来运行命令或是启动一个免密码Telnet服务器。

专家在文件系统中发现一个文件夹，/system/www/pem/ck.pem，里面包含一个带有RSA私钥的苹果开发者证书，以及Web服务器凭证，通过.ini系统和-b.ini系统符号链接就可以将其泄漏给未经身份验证的攻击者。

该Wi-Fi监控摄像头运行一个未经身份认证的实时流协议（real-time streaming protocol，RTSP）服务器，这就意味着如果攻击者能够看到摄像头的TCP 端口10554，他就可以看到它所承载的所有信息。

Kim 在详细分析中解释称，

攻击者可以使用免验证的RTSP服务器在摄像头的“10554/tcp”端口上运行，随后就可以在未经验证的情况下查看流信息——user@kali$ vlc rstp://192.168.1.107:10554/tcp/av0_1以及user@kali$ vlc rstp://192.168.1.107:10554/tcp/av0_0。

另一个安全漏洞是由固件实现的云能力造成的，它是默认启用的并且预配置连接到AWS、阿里巴巴和百度中。

想要访问云，攻击者需要使用一个智能手机应用程序，如P2PWificam和Netcam360来提供目标设备的序列号。

Kim解释道，

如果摄像头是在线的，UDP通道是自动建立在应用程序和摄像头之间的，使用云服务器作为中继。即使攻击者不知道凭证，攻击者和摄像头之间的UDP通道也会自动建立。注意将通道绕过NAT和防火墙是非常有用的，它允许攻击者进入摄像头内部（如果它们联网的话）并暴力破解凭证。