Уязвимость CVE-2021-36260 в устройствах Hikvision продолжает оставаться серьёзной угрозой, учитывая огромное количество уязвимых целей, выставленных в интернет. Более миллиона устройств с потенциальной опасностью эксплойта доступны для удалённого запуска вредоносного кода, что обеспечивает атакующим возможности для создания прокси-сетей и внутренних переходов внутри сетей жертв. Среди известных угроз, которые используют эту уязвимость, выделяются такие группы, как Flax Typhoon и Fancy Bear, а ежедневные попытки эксплуатации фиксируются сервисами GreyNoise и Shadowserver. Несмотря на то что типичные попытки атаки по CVE-2021-36260 никого особенно не удивляют, недавно обнаруженный метод получения и запуска вредоносных бинарных файлов вызывает особое внимание специалистов по безопасности. Традиционно данная уязвимость позволяет внедрять и запускать вредоносные исполняемые файлы через уязвимый эндпоинт /SDK/webLanguage из-за возможности командной инъекции.
Однако ограниченный набор доступных инструментов на устройствах Hikvision осложняет эту задачу. Отсутствие в системе таких утилит, как curl, wget, tftp или openssl, а также некорректно работающий scp, заставляет злоумышленников искать альтернативные методы передачи исполняемого кода. Один из популярных способов — использовать printf, как это реализовано в Metasploit. Но при этом процесс оказывается чересчур медленным из-за ограничения размера буфера в 26 байт, поскольку каждый кусочек данных приходится отправлять небольшими порциями. VulnCheck предложил вариант с созданием и запуском шелл-скрипта, разворачивающего обратную telnet-связь, однако такой способ уступает по функционалу полноценному Meterpreter.
В этом контексте особый интерес вызывает новая тактика, обнаруженная при проанализированных атаках: злоумышленник применяет команду mount как инструмент для скачивания и запуска вредоносных файлов посредством монтирования удалённого NFS-шара. В примере атаки с использованием команды mount создаётся локальная директория, куда монтируется удалённая директория с сервера злоумышленника. После этого запускается скрипт из полученного NFS-ресурса, что позволяет обойти ограничение на наличие стандартных загрузчиков. Использование возможностей NFS-цикла и Portmap (tcp/111 или udp/111) позволяет через команду mount автоматически определить порт службы на удалённом сервере и смонтировать нужный каталог для последующего исполнения скриптов и бинарников. Такой подход значительно ускоряет процесс доставки файлов и нивелирует проблемы, связанные с размером буферов и отсутствием стандартных утилит.
Кроме того, использование mount помогает избегать распространённого сетевого мониторинга и сигнатур, ориентированных на типичные HTTP-запросы curl или wget, что усложняет выявление атаки. Ещё один существенный плюс — меньшая распространённость такого подхода значительно снижает вероятность срабатывания сигнатурных систем обнаружения вторжений (IDS). Практическая реализация атаки включает отправку в эндпоинт /SDK/webLanguage серии специально сформированных HTTP-запросов, в которых по частям формируется скрипт на шелле. Весь код разбивается на маленькие части и записывается в локальный файл, который затем выполняется. В итоге на устройстве Hikvision появляется работающая бекдор-сессия и возможность управления системой.
Для организации NFS-шара злоумышленнику необходим сервер с поддержкой nfs-kernel-server, на котором создаётся каталог с необходимыми файлами и скриптами с установленными разрешениями. После правильной настройки экспортируемого каталога и перезапуска серверных служб, атака может быть запущена без дополнительных сложностей. Несмотря на интересность и эффективность этого приёма, данная техника эксплуатации ограничена строгим лимитом размера инъекции — 31 байт, накладываемым snprintf-сущностью в прошивке многих уязвимых камер. Это означает, что новая методика актуальна только для устройств с определённым типом реализации уязвимого кода, возможно, основанного на sprintf, а не snprintf. Тем не менее, есть подтверждения, что реальные атаки с использованием данной тактики происходят и фиксируются в сети.
Источником атак является набор IP-адресов, которые связаны с другими вредоносными активностями и различными эксплойтами. Анализ поражённых ресурсов показывает, что они используются для хранения вредоносных файлов и обратных соединений. В качестве вредоносного ПО, загружаемого на устройства Hikvision, часто выступают модифицированные варианты известных ботнетов, таких как Mirai. В целях защиты крайне рекомендуется внимательно контролировать доступ к устройствам Hikvision и при обнаружении попыток взаимодействия с нежелательными сетевыми ресурсами или необычной активности, особенно связанной с NFS и Portmap, принимать меры на уровне межсетевых экранов. Владельцам и администраторам стоит также следить за патчами и обновлять прошивки камер, хотя далеко не все устройства регулярно получают обновления или имеют возможность это делать.
