首页 > 清静研究 > 清静转达 > 清静通告

海思芯片保存后门危害通告

宣布时间 2020-02-06

误差编号和级别

CVE编号：暂无，危险级别：高危，CVSS分值：官方未评定

影响版本

https://github.com/tothi/pwn-hisilicon-dvr#summary

误差概述

海思是一家总部位于深圳的中国半导体公司，隶属于华为，也是中国最大的集成电路设计公司，其芯片被全球数以百万计的物联网装备所使用，包括清静摄像头、DVR和NVR。

近期，俄罗斯清静专家Vladislav Yarmak宣布了在海思芯片中发明的后门的使用详情，使用后门可以让攻击者获得目的装备中root权限的shell，完全控制住装备。

最新的固件版本虽然默认禁用了Telnet会见和调试端口（9527/tcp），但翻开了9530/tcp端口，可以通过向包括海思芯片装备的9530端口发送一系列特殊下令来使用后门。这些下令可让攻击者在目的装备上启用Telnet服务，接着就可以使用以下六个默认Telnet凭证之一举行登录，获得一个root权限的shell。

耀世娱乐-科技赋能场景,让娱乐更有趣。

后门激活流程如下：

1.客户端毗连目的装备的9530端口，发送字符串OpenTelnet:OpenOnce，该字符串前面要加上指示新闻长度的字节。该办法关于以前版本的后门使用是最后一步。若是此办法后没有响应，则telneted服务可能已经运行。

2.服务端（指装备）会回复randNum:XXXXXXXX，其中XXXXXXXX是8位随机数字。

3.客户端使用预共享密钥作为加密密钥，配合随机数举行以下办法。

4.客户端使用加密密钥加密随机数字，附加在randNum:之后，再在头部添加总长度的字节，然后发送给服务端。

5.服务端从/mnt/custom/TelnetOEMPasswd加载预共享密钥，或直接使用默认密钥2wj9fsa2。

6.服务端对随机数举行加密，并验证效果是否与客户端发送过来是否一样。验证乐成回复verify:OK，不然回复verify:ERROR。

7.客户端加密字符串Telnet:OpenOnce，前面带上总长度字节，CMD:字符串，然后发送给服务端。

8.服务端解密出接受到的下令。若是获得的效果即是字符串Telnet:OpenOnce，就会回复Open:OK，开启调试端口9527，启动telnet服务。

误差验证

PoC：https://github.com/Snawoot/hisilicon-dvr-telnet。

用法：./hs-dvr-telnet HOST PSK

其中PSK默认是2wj9fsa2

示例用法

耀世娱乐-科技赋能场景,让娱乐更有趣。

修复建议

现在厂商还未修复误差，可接纳暂时防御步伐：用户可以凭证需要限制对受影响装备的网络会见，只允许受信任的用户举行会见。

参考链接

https://habr.com/en/post/486856/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究

海思芯片保存后门危害通告

关于耀世娱乐

解决计划

清静研究

联系耀世娱乐

7*24小时服务热线