Backdoors y vulnerabilidades en firmware chino de HiSilicon.

Se descubren fallos de seguridad en los codificadores de video IPTV / H.264 / H.265 basados ​​en el firmware de HiSilicon hi3520d. Las vulnerabilidades se pueden explotar de forma remota y pueden conducir a la exposición de información confidencial, la denegación de servicio y la ejecución remota de código, lo que da como resultado el compromiso completo del dispositivo.

Los codificadores de vídeo por hardware se utilizan para la transmisión de vídeo a través de redes IP. Se encargan de convertir señales de vídeo sin procesar – llamadas raw – (como analógicas, SDI, HDMI) en transmisiones H.264 o H.265, para enviarlas a una red de distribución de vídeo como Youtube o Twitch. También permiten que los usuarios vean el vídeo directamente a través de RTSP.

Normalmente, estos codificadores tienen una interfaz web que permite al administrador configurar la red, los parámetros de codificación, las opciones de transmisión, etc. Muchos de estos dispositivos en el mercado se basan en HiSilicon – una marca de Huawei – que ejecuta una distribución especial de Linux llamada HiLinux.

La metodología de los investigadores consistió en el análisis del firmware a través de ingeniería inversa con herramientas como Ghidra.

A modo de resumen, enumeramos a continuación las principales vulnerabilidades que fueron identificadas:

En cuanto a las vulnerabilidades de riesgo crítico, se encuentran aquellas clasificadas con los identificadores CVE-2020-24215, CVE-2020-24218, CVE-2020-24219 y CVE-2020-24217.

La primera de ellas permite el acceso a la interfaz de administración mediante una puerta trasera o backdoor. El ejercicio de ingeniería inversa revela las credenciales hardcodeadas.

La segunda consiste en la posibilidad de acceso como root a través del servicio Telnet. El puerto 23 se encuentra a la escucha ejecutando un telnet, cuyas credenciales por defecto son «admin/admin«. El análisis del firmware reveló además que las credenciales encontradas para la puerta trasera eran parcialmente reutilizables en este servicio.

La tercera se trata de una vulnerabilidad de tipo path traversal que permite la exposición arbitraria de archivos, debido a una utilización insegura de la función find(), que no está debidamente saneada y permite pasarle como parámetro cualquier recurso existente o incluso rutas que extralimitan el ámbito legítimo de la aplicación, como «../../../../../etc/passwd».

La última de las vulnerabilidades consiste en una carga de archivos sin necesidad de autenticación. A través del análisis de peticiones mediante Burp puede comprobarse que las peticiones de subida de ficheros no requieren autenticación.

Además de estas vulnerabilidades, existen dos más, sin identificador CVE, consistentes en la ejecución de código arbitrario, ya sea mediante la carga de un firmware malicioso o mediante la inyección de comandos. Un atacante remoto puede aprovechar el formulario de subida anteriormente mencionado para concatenar comandos, provocando una ejecución remota de código.

También es posible subir un firmware malicioso con una puerta trasera o un script que al ejecutarse, devuelva una conexión al atacante remoto brindándole ejecución remota de código o RCE.

En cuanto a las vulnerabilidades de riesgo medio, se ha identificado un fallo capaz de provocar una denegación del servicio por desbordamiento de búfer o buffer overflow. El identificador de esta vulnerabilidad es CVE-2020-24214. A través del abuso de la función printf() puede sobreescribirse el búfer acStack2064 provocando el desbordamiento que, de manera subsiguiente, acarrea una denegación de servicio y un reinicio del dispositivo.

Sobre si la ejecución de código asociada a este desbordamiento es posible, los investigadores refieren que la protección ASLR está habilitada, por lo que las condiciones de explotación no son triviales.

Finalmente, una vulnerabilidad de riesgo medio, clasificada con el identificador CVE-2020-24216 permite el acceso no autorizado al streaming de vídeo RTSP .

Más información:

Backdoors and other vulnerabilities in HiSilicon based hardware video encoders

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.