劉偉
近年來,平安城市建設(shè)中構(gòu)建了大量大型的安防系統(tǒng),最常見的是遍布十字路口和商鋪門口的網(wǎng)絡(luò)攝像頭。使用者不需任何專業(yè)軟件,只需普通的網(wǎng)絡(luò)瀏覽器即可監(jiān)視其影像,但在方便的同時(shí)也留下了網(wǎng)絡(luò)安全漏洞,下面針對(duì)常見的RCE Day漏洞分析防御“挖礦”類攻擊的處理思路,給出路由器配置方案,對(duì)網(wǎng)絡(luò)安全防范工作提供一定的指導(dǎo)意義。
一、安全防范系統(tǒng)的基本要求和網(wǎng)絡(luò)安全現(xiàn)狀分析
根據(jù)公安部在安全防范工程技術(shù)規(guī)范,關(guān)于“滿足系統(tǒng)的安全性、電磁兼容性要求”中規(guī)定,網(wǎng)絡(luò)攝像頭需要具備防御網(wǎng)絡(luò)黑客的攻擊功能。但是,近年來天網(wǎng)工程和智慧城市工程采購(gòu)的網(wǎng)絡(luò)攝像頭,管理員大多沒有經(jīng)過網(wǎng)絡(luò)安全崗位培訓(xùn),實(shí)際工作中也忽略了路由設(shè)置的安全防范工作,另外路由器使用默認(rèn)密碼較多,只要點(diǎn)擊瀏覽器或手機(jī)的APP即可實(shí)現(xiàn)連接。
二、路由隱患分析
弱口令漏洞。默認(rèn)密碼為:user,admin,123456或111111等屬于弱口令漏洞,用ScanPort等工具進(jìn)行端口、協(xié)議掃描,查找攝像頭廠家的特征碼,對(duì)有特征碼反饋的,利用對(duì)應(yīng)的IP地址和端口號(hào)使用弱口令碰撞進(jìn)行訪問,很容易就能掌控該路由,從而操縱其主機(jī)形成攻擊。
RCE Day漏洞。筆者處理過一個(gè)案例,黑客是9歲的小學(xué)生,他通過ping的命令成功連接上家長(zhǎng)單位的D-Link網(wǎng)絡(luò)攝像頭,隨意刪改數(shù)據(jù),造成了攻擊事實(shí)。事后經(jīng)過調(diào)查市面的GoAhead服務(wù)器,發(fā)現(xiàn)大約80 %的設(shè)備均受這種漏洞影響。
數(shù)據(jù)傳輸未加密、APP未安全加固。以Windows XP為例,右擊“我的電腦”選擇“管理”展開“服務(wù)和應(yīng)用程序”,從服務(wù)的清單中選擇“SNMP服務(wù)”,停止該服務(wù)。然后打開“服務(wù)”的屬性對(duì)話框,將啟動(dòng)類型改為禁用,操作完成。
再例如,封鎖ICMP(控制消息協(xié)議)的ping請(qǐng)求,避免遠(yuǎn)程用戶接收ping請(qǐng)求的應(yīng)答,操作過程是右擊本機(jī)的IP安全策略,選擇管理IP過濾器,在列表中建立一個(gè)新的過濾規(guī)則 ICMP_ANY_IN,源地址選任意IP,目標(biāo)地址選本機(jī),協(xié)議類型是ICMP,切換到管理過濾器操作,增加一個(gè)名為DENY的操作(類型為“阻止”block),這樣就有了一個(gè)關(guān)注所有進(jìn)入ICMP保護(hù)的過濾策略和丟棄所有報(bào)文的過濾操作了。如果這些數(shù)據(jù)傳輸加密工作在基層的安防系統(tǒng)建設(shè)中沒有被足夠重視,就會(huì)留下安全隱患。
四、修復(fù)挖礦漏洞的方法
測(cè)試挖礦類黑客攻擊的方法有3步:
1.下載工具,測(cè)試確認(rèn)漏洞存在(可以從Github上下載相關(guān)程序);
2.從MOS上下載weblogic,用“C:\Python27\”修改系統(tǒng)環(huán)境變量,輸入命令print Hello World!完成配置,修復(fù)漏洞;
3.搜索關(guān)鍵字“CVE-2017-10271”再次測(cè)試漏洞是否存在,查看README的內(nèi)容weblogic_wls_wsat_rce和Weblogic wls-wsat組件反序列化漏洞(CVE-2017-10271)利用腳本,上傳shell,在linux下weblogic 10.3.6.0測(cè)試OK。啟動(dòng)一個(gè)weblogic域,測(cè)試RCE漏洞F:\weblogic_wls_wsat_rce-master>python weblogic_wls_wsat_exp.py-t 10.6.3.226:70
06 -c ls
[-]FAIL:404 no output
從測(cè)試返回結(jié)果“FAIL:404 no output”來看,顯然漏洞已經(jīng)修復(fù)。