熊麦中心在中国杭州的渲染。资料来源:xiongmaitech.com
2016年底,世界目睹了Mirai的强大破坏力,Mirai是一种强大的僵尸网络应变,由物联网(IoT)设备(如DVR和IP摄像头)推动,这些设备通过出厂默认密码和其他不良安全设置上线。
安全专家很快发现,大多数受Mirai感染的设备主要由熊迈(又名杭州雄迈科技有限公司)和少数其他中国科技公司组成,这些公司似乎有产品市场份额的历史。和价格高于安全。
从那时起,其中两家公司 - 华为和大华 - 已采取措施提高其物联网产品的安全性。但是,尽管研究人员一再警告其硬件中存在深层漏洞,但熊迈仍然忽视此类警告,并将大量不安全的硬件和软件用于白色标签并由100多家第三方供应商销售的产品中。
周二,奥地利安全公司SEC Consult发布了对熊迈硬件中多个,挥之不去和严重安全漏洞进行广泛研究的结果。
美国证券交易委员会咨询公司表示,它已于2018年3月开始与熊迈就这些问题进行合作,但在明确表示熊迈不会解决任何问题之后,它终于发布了研究报告。
研究人员在今天发表的一篇博客文章中写道:“虽然熊迈有七个月的通知,但他们还没有解决任何问题。” “过去几个月与他们的谈话表明,安全根本不是他们的首要任务。”
问题的问题
问题的核心部分是名为“ XMEye ” 的点对点(P2P)通信组件,该组件随所有Xiongmai设备一起提供,并自动将它们连接到Xiongmai运行的云网络。P2P功能旨在让消费者可以在世界任何地方远程访问他们的DVR或安全摄像头,而无需进行任何配置。
雄迈的各项业务。资料来源:xiongmaitech.com
要通过P2P网络访问Xiongmai设备,必须知道分配给每个设备的唯一ID(UID)。UID基本上是使用设备的内置MAC地址(一串数字和字母,如68ab8124db83c8db)以易于重现的方式派生的。
电子公司被分配了他们可能使用的MAC地址范围,但SEC Consult发现Xiongmai实际上使用分配给其他公司的MAC地址范围,包括科技巨头Cisco Systems,德国印刷机制造商Koenig&Bauer AG,和瑞士化学分析公司Metrohm AG。
SEC Consult了解到,通过为每个MAC地址范围计算所有可能的UID范围,然后扫描Xiongmai的公共云以获取支持XMEye的设备,找到Xiongmai设备是微不足道的。根据扫描仅有2%的可用范围,SEC Consult保守估计在线有大约900万个熊迈P2P设备。
[据记载,KrebsOnSecurity 长期以来一直 建议物联网设备的买家避免那些宣传P2P功能的原因。熊迈的崩溃是另一个例子,为什么这仍然是坚实的建议]。
BLANK TO BANK
虽然仍需要提供用户名和密码来通过此方法远程访问XMEye设备,但SEC Consult指出,全能管理用户(用户名“admin”)的默认密码为空(即无密码)。
管理员帐户可用于对设备执行任何操作,例如更改其设置或上载软件 - 包括Mirai等恶意软件。并且因为用户不需要在初始设置阶段设置安全密码,所以可能通过这些默认凭证可以访问大量设备。
熊迈生产的IP摄像机原始无品牌电子元件。
即使客户更改了默认管理员密码,SEC Consult也发现有一个名为“default”的未记录用户,其密码为“tluafed”(默认为反向)。虽然此用户帐户无法更改系统设置,但仍可以查看任何视频流。
通常,通过要求推送到设备的任何新软件使用仅由硬件或软件制造商持有的秘密加密密钥进行数字签名,来保护硬件设备免受未授权的软件更新。但是,支持XMEye的设备没有这样的保护。
事实上,研究人员发现,建立一个模仿XMEye云并将恶意固件更新推送到任何设备的系统是微不足道的。更糟糕的是,与Mirai恶意软件不同 - 当被感染的设备断电或重新启动时,它会从内存中永久擦除 - 由SEC Consult设计的更新方法使得任何上传的软件都可以在重新启动后幸存。
CAN XIONGMAI真的很难受吗?
随着Mirai僵尸网络在2016年的出现以及随后的记录拒绝服务攻击(一次包括这个网站和我的DDoS保护提供商),多家安全公司表示Xiongmai不安全产品是造成这个问题的巨大因素。
该公司最强烈的批评者之一是总部位于纽约的安全公司Flashpoint,该公司指出,即使是熊迈硬件内置的基本安全功能在基本任务中也完全失败了。
例如,Flashpoint的分析师发现,只需在登录前导航到名为“DVR.htm”的页面,就可以绕过运行Xiongmai硬件和软件的摄像机或DVR的登录页面。
Flashpoint的研究人员还发现,通过Xiongmai产品的Web管理页面可访问的各种用户帐户密码的任何更改都无法改变硬编码到这些设备中的帐户的密码,只能通过更加模糊的命令行通信接口访问Telnet和SSH。
不久之后,熊迈因未能解决导致Mirai及相关物联网僵尸网络传播的明显安全漏洞而受到公开羞辱,熊迈猛烈抨击多家安全公司和记者,承诺起诉其批评诽谤(从未通过据我所知,这种威胁。
与此同时,Xiongmai承诺将在数百万台设备上发布产品召回,以确保它们不会使用不安全的设置和软件进行部署。但根据Flashpoint的扎克维克霍尔姆的说法,熊迈从未接受过召回。相反,公司可以通过公开和业务合作伙伴来保存面子。
“该公司表示他们将进行产品召回,但看起来他们从未接触过它,”Wikholm说。“他们只是试图掩盖并继续前进。”
Wikholm表示,Flashpoint在Xiongmai的硬件和软件中发现了一些额外的明显漏洞,这些漏洞使他们对恶意黑客的收购持开放态度,并且该公司的核心产品线中仍然存在其中的一些弱点。
Wikholm说:“我们本可以继续发布我们的研究结果,但这样做真的很难,因为Xiongmai不会修复它们,只会让人们更容易妥协这些设备。”
Flashpoint的分析师表示,他认为SEC Consult对弱势熊迈设备数量的估计极为保守。
Wikholm表示,“九百万台设备听起来相当低,因为这些设备占据了全球DVR市场的25%”,更不用说该公司在廉价IP摄像机市场的份额。
更重要的是,他说,熊迈对其产品线中存在危险安全漏洞的报道置若罔闻,主要是因为它没有直接回应购买该设备的客户。
“他们保持这种[不关心]水平的唯一原因是他们已经进入这个市场很长一段时间,并为数十家第三方公司建立了非常强大的区域销售渠道,”最终将熊麦的产品重新命名为自己,他说。
Wikholm观察到,由Xiongmai套件驱动的廉价电子产品的典型消费者并不真正关心这些设备可以被网络犯罪分子轻易占用。
他说:“他们只是希望在自己的房子或企业周围建立安全系统,不需要花费任何费用,而且熊迈是该领域最大的玩家。” “面对公众压力,大多数公司至少都有某种激励,可以让事情变得更好。但他们似乎没有这种动力。“
一个幻想的门户
SEC Consult通过表示Xiongmai“ 没有提供任何缓解措施,因此建议不要使用任何与XMeye P2P云相关的产品,直到所有已识别的安全问题得到修复并进行全面的安全性分析后, SEC Consult完成了有关安全漏洞的技术咨询。由专业人士完成。“
虽然这听起来很容易,但在实践中采取行动很困难,因为使用Xiongmai严重缺陷的硬件和软件制造的设备很少在标签或产品名称上宣传这一事实。相反,Xiongmai生产的组件向下游销售给供应商,然后供应商在自己的产品中使用它,并使用自己的品牌名称贴上标签。
有多少供应商?这很难说是肯定的,但是通过电子商务网站搜索XMEye一词,其中Xiongmai的白标产品通常被出售(亚马逊,Aliexpress.com,Homedepot.com和沃尔玛),它们显示了超过100家公司。可能从未听说过熊迈的硬件和软件属于哪个品牌。该列表可在此处获取(PDF),并在本文结尾处粘贴,以便搜索引擎受益。
SEC Consult关于其调查结果的技术咨询列出了一系列指标,系统和网络管理员可以使用这些指标快速确定这些易受攻击的P2P Xiongmai设备是否恰好位于您的网络上。
对于关注此问题的最终用户,指出Xiongmai设备的一种方法是搜索Amazon.com,aliexpress.com,walmart.com和其他在线商家,以获取设备侧面的品牌和“XMEye”一词。如果你得到的话很有可能,你有一个基于雄迈技术的设备。
另一种选择:打开浏览器并导航到设备的本地Internet地址。如果您在本地网络上有这些设备之一,登录页面应如下所示:
由Xiongmai的软件和硬件驱动的物联网设备的管理登录屏幕。
几乎所有Xiongmai设备的另一个赠品是将“http://IP/err.htm”粘贴到浏览器地址栏中,应显示以下错误消息(其中IP =设备的本地IP地址):
具有讽刺意味的是,即使是Xiongmai设备的错误页面也包含错误。
据SEC咨询公司称,熊迈的电子和硬件构成了以下公司名称销售和销售的IP摄像机和DVR的核心。
下面列出的许多公司最引人注目的是,其中大约一半的公司甚至没有自己的网站,而只是依靠Amazon.com或其他电子商务网点的直接面向消费者的产品列表。在那些直接通过网络销售熊迈产品的公司中,很少有人甚至提供安全的(https://)网站。
SEC Consult的博客文章中有关他们的调查结果的更多技术细节,以及他们今天发布的安全建议。
在回答有关SEC咨询报告的问题时,Xiongmai表示现在正在使用新的加密方法为其XMEye设备生成UID,并且不再依赖于MAC地址。
Xiongmai还表示,用户在使用XMEye Internet Explorer插件或移动应用程序时将被要求更改设备默认用户名和密码。该公司还表示,它已在2018年8月之后删除了固件版本中的“默认”帐户。它还对SEC Consult声称它不加密设备处理的流量提出异议。
为了回应批评用户在Web界面中更改的任何设置不会影响只能通过telnet访问的用户帐户,Xiongmai表示已准备好“很快”从其设备中完全删除telnet。
KrebsOnSecurity无法验证Xiongmai索赔的真实性,但应该指出的是,该公司过去曾做过许多此类声明和承诺,从未实现过。
SEC咨询漏洞实验室负责人约翰内斯·格里尔(Johannes Greil)表示,据他所知,没有任何公布的修正案已经实现。
“我们期待Xiongmai能够解决新设备以及现场所有设备的漏洞,”Greil说。
根据美国证券交易委员会咨询公司的数据,这里是白熊标识熊迈不安全产品的最新公司名单:
9Trading
Abowone
AHWVSE
安冉
ASECAM
Autoeye
AZISHN
A-ZONE
BESDER / BESDERSEC
宝视佳
Bestmo
BFMore
BOAVISION
壁垒
CANAVIS
CWH
达瑞
datocctv
DEFEWAY
digoo
DiySecurityCameraWorld
DONPHIA
ENKLOV
ESAMACT
ESCAM
EVTEVISION
Fayele
FLOUREON
拂逆
GADINAN
GARUNK
HAMROL
HAMROLTE
天翔
Hiseeu
HISVISION
HMQC
IHOMEGUARD
ISSEUSEE
iTooner
JENNOV
Jooan
Jshida
JUESENWDM
巨丰
JZTEK
KERUI
KKMOON
KONLEN
Kopda
Lenyes
LESHP
LEVCOECAM
LINGSEE
LOOSAFE
MIEBUL
MISECU
Nextrend
OEM
OLOEY
OUERTECH
QNTSQ
SACAM
SANNCE
SANSCO
中视
壳牌膜
Sifvision / sifsecurityvision
SMAR
SMTSEC
SSICON
SUNBA
Sunivision
Susikum
TECBOX
Techage
Techege
TianAnXun
TMEZON
TVPSii
独特的眼光
unitoptek
USAFEQLO
VOLDRELI
Westmile
Westshine
Wistino
Witrue
WNK安全技术
WOFEA
WOSHIJIA
WUSONLUSAN
XIAO
MAAANX
xloongx
YiiSPO
YUCHENG
YUNSYE
zclever
zilnk
ZJUXIN
zmodo
ZRHUNTER