天王级视频监控产品某华认证绕过漏洞CVE-2021-330*复现与分析 - 网安

引言

某华是全球占有率排名第二的视频监控品牌。2021年10月，多款摄像产品曝光了认证绕过漏洞，攻击者可利用该漏洞绕过身份验证，获得设备管理权限，可对摄像头进行配置修改、获取配置信息、修改口令、重启设备、添加用户等，危害很高，影响IPC/VTH/VTO/NVR/DVR等主流产品。

漏洞复现

根据github上POC中的`requirements.txt`搭建环境：

sudo pip3 install -r requirements.txt

运行`Console.py`，登陆方式选择`loopback`，协议选择`dhip`,端口为摄像头的web管理端口（通常为80）：

./Console.py --logon loopback --rhost IP --proto dhip --rport port

运行后就可以对设备进行管理员操作了，获得一个合法的`session`会话：

在会话中可以运行各类命令，例如，运行`device`命令可以看到设备的基本配置信息：

漏洞分析

该漏洞可通过某华`DHIP`协议触发。除了摄像头web端口支持`http/https`协议外，某华在其web端口上还实现了一套私有协议，命名为`DHIP`协议，实现远程`RPC`调用的功能。通过抓包分析能够基本弄清楚这套协议基本规范。

0x01 从协议看表象

`DHIP`实现了一套简易的RPC调用协议，主要包括`DHIP header`和`DHIP body`两部分：

其中，`DHIP Header`长度为32个字节，组成如下：

`DHIP body`采用json格式定义，包括`method`、`param`、`id`、`session`四个关键字段，以登陆数据包为例，对应的`DHIP`数据包格式为：

其中，`Method`有多种类型，相当于是远程调用的函数，`param`相当于是给函数传递的参数：

如下的`DHIP packet`就是一个获取设备邮件信息的`RPC`请求：

{    "method": "configManager.getMemberNames",    "params": {        "name": "Email",    },}

该漏洞问题出现在登陆类型的`RPC`请求上。当`method`为`global.login`时代表登陆数据包，但是当传递特殊构造的包含`loopback`登陆参数`param`时，能够绕过认证。`loopback`用于告诉设备采用本地登陆方式登陆，是留给本地其他进程进行设备管理时通信接口。摄像头服务端`RPC`处理函数遇到这类请求将不予认证，但是并没有检查请求发起方的IP地址。因而攻击者可以通过远程仿冒本地登陆数据包，直接绕过身份认证。用wireshark抓包可以看到，当`param`中登陆类型为`loopback`时，并设置任意用户名与口令信息，摄像头直接返回了认证成功的数据包。

0x02 从固件逆向看本质

但是到底为什么出现这个原因？只能分析固件了，从官网只能下到的最新固件已经被加密了，较难解开。一个直接想法就是找老版本固件，经过不懈努力终于找到了一个能解开的固件，版本为`**_NVR4XXX-4K_Chn_P_V3.210.0005.0.R.20160614`，大家可以自行搜索。偷懒使用了7z解压大法，直接解压了固件。