Casi por casualidad he detectado una vulnerabilidad que afecta a la web de administración de algunos grabadores de vídeo (DVR) de cámaras IP expuestos en Internet por todo el mundo. Cuatro fabricantes distintos, 20 modelos de grabadores y 127 versiones de firmware afectadas. En total, centenares de productos vulnerables y más de 12.000 dispositivos en la red, lo que equivaldría, aproximadamente, al acceso de 55.000 cámaras distintas y todo aquello que hayan grabado.
En septiembre del año pasado buscaba algún fallo que sirviera como ejemplo y que me permitiese incluirlo como parte de la historia del libro "Hacker Epico". Cuando dí con el, no le presté demasiada atención, ya que este tipo de dispositivos suelen tener una plaga de vulnerabilidades. Ahora que ya se publicó la novela y vuelvo a tener algo más de tiempo, me dio por profundizar un poco más y explorar el impacto que tenía aquel hallazgo. Desde luego, no imagine que fuera a ser tan significativo.
Un grabador de vídeo es un sistema, como el que se muestra en la imagen, que sirve para gestionar cámaras de vigilancia, generar alertas en base a patrones y grabar en archivos el contenido. Generalmente tienen varios canales, y en cada uno de ellos se conecta una cámara, que según el modelo varía entre 4, 6, 8, 16, etcétera.
Trozo (editado) de archivo "DVR.cfg" de ejemplo |
La vulnerabilidad es muy sencilla, usando un navegador y solicitando el archivo "/DVR.cfg", puedes descargarte la configuración del sistema sin necesidad de introducir credenciales. En esta configuración se guarda sin ningún tipo de cifrado el usuario y la contraseña de acceso a su configuración y otros datos, como por ejemplo las credenciales de acceso del correo, FTP, DDNS o PPPOE.
Con estos datos, la forma más sencilla, y sin necesidad de entrar al panel de administración, de ver lo que graban las cámaras, es accediendo a su versión móvil. Para ello, tan solo hay que abrir el archivo "/iphone.html", añadiendo a la URL el usuario y la contraseña. Por ejemplo: http://admin:admin@1.1.1.1/iphone.html. Aunque también es posible conectarse mediante el ActiveX del fabricante o utilizando un cliente RTSP.
Si se accede directamente usando el control del navegador, se visualizarán simultáneamente todas las cámaras .
Panel de control de administración de DVR (ActiveX) |
Resultados de Shodan |
Grabadores de Vídeo vulnerables por país |
Uso de contraseñas en grabadores vulnerables |
Los fabricantes afectados que he encontrado son:
- Hunt CCTV (http://www.huntcctv.com/)
- Capture CCTV (http://www.capturecctv.ca/)
- Hachi CCTV
- NoVus CCTV (http://www.novuscctv.com/)
- Well-Vision Inc (http://well-vision.com/)
Los modelos de estos fabricantes:
- DVR-04CH, DVR-04NC, DVR-08CH, DVR-08NC, DVR-16CH (HuntCCTV)
- CDR 0410VE, CDR 0820VDE (CaptureCCTV-HuntCCTV)
- DR6-704A4H, DR6-708A4H, DR6-7316A4H, DR6-7316A4HL (HuntCCTV)
- HDR-04KD, HDR-08KD (unknown-HuntCCTV)
- HV-04RD PRO, HV-08RD PRO (Hachi-HuntCCTV)
- NV-DVR1204, NV-DVR1208, NV-DVR1216 (NovusSec)
- TW-DVR604, TW-DVR616 (Well Vision INC Solutions-HuntCCTV)
Distribución por modelos |
He encontrado en total 127 firmwares distintos con la vulnerabilidad, de forma resumida:
- 1.1.10 to 1.1.92
- 1.47 to 1.51
- 2.0.0 to 2.1.93
- 3.0.04 to 3.1.92
Toda la información ha sido reportada a HuntCCTV y tiene reservado el identificador CVE-2013-1391, pero desgraciadamente no han respondido. La vulnerabilidad también ha sido remitida al Grupo de Delitos Telemáticos de la Guardia Civil, quienes a su vez la han reportado al fabricante.
Para finalizar, mi amigo Wiredrat, con el que he compartido muchas aventuras (asíncronas), ha hecho un mapa interactivo (similar al de TrendNET, solo que con 12.000 puntos en vez de 300) que muestra la posición de los grabadores que se ven en Shodan y genera automáticamente un enlace a la configuración (donde están las credenciales) y a la versión móvil de las cámaras. Pese a que avisa en la propia web, os recuerdo que acceder tanto a la configuración como a la cámara, en la gran mayoría de países sería considerado un delito. Incluso aunque sea haga con el usuario admin y contraseña admin, que tienen la gran mayoría de ellas :-P
Mapa interactivo con grabadores vulnerables |
Fuente: Security By Default