本周二（5月1日），一名阿根廷安全研究人员Ezequiel Fernandez发布了一款功能强大的新型黑客工具，可以轻松地提取各种数字视频录像机（DVR）品牌的明文凭证，并授予攻击者访问这些系统的权限，本质上来说就是允许用户随意查看DVR录制的视频记录。

该工具名为“getDVR_Credentials”，是CVE-2018-9995的概念验证（proof-of-concept，简称PoC），而CVE-2018-9995是Fernandez于上月初发现的一个安全漏洞。

CVE-2018-9995——所有人都忽视的高危漏洞

Fernandez发现，通过具有“Cookie：uid = admin”的Cookie标头来访问特定DVR的控制面板，该DVR将以明文形式响应设备的管理员凭据。整个漏洞利用过程足够小，甚至可以通过推文进行发布：

$> curl "http://{DVR_HOST_IP}:{PORT}/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"

最初，Fernandez发现CVE-2018-9995漏洞仅影响TBK制造的DVR设备，但在周一发布的最新报告中，研究人员又将易受攻击设备的列表扩大到包含由其他几家供应商所制造的系统，其中大部分看似是在销售原版TBK DVR4104和DVR4216系列的更名版本，包括：

· Novo

· CeNova

· QSee

· Pulnix

· XVR 5 in 1

· Securus

· Night OWL

· DVR Login

· HVR Login

· MDVR Login 

成千上万台易受攻击的设备在线暴露

研究人员估算了易受攻击设备的数量至少有几万台。Fernandez使用Shodan搜索引擎获取到的扫描结果屏幕截图显示，超过55,000台易受攻击的DVR设备在线暴露；而另一项搜索结果则显示，有超过1万台DVR设备在线暴露。

Fernandez还发布了一些通过利用CVE-2018-9995及其工具获取到的设备屏幕截图。根据这些屏幕截图显示，Fernandez可以完全访问这些DVR设备的设置面板，同时也可以观看实况视频。

过去也曾有一些网站利用安全漏洞来聚合被黑客入侵的安全摄像头或者DVR录制的视频，因此Fernadez开发的这款工具可能会推动一波类似门户网站的风潮。

漏洞已被确认，但尚未发现攻击活动

本周三（5月2日），Bleeping Computer向一些安全研究人员获取了有关该工具的工作状态和功效的评估报告。

其中，专注于物联网安全的网络安全公司NewSky Security的首席安全研究员Ankit Anubhav表示，

我已经对代码进行了验证，并且发现脚本能够顺利地完成广告宣传中其所描述的工作内容，按下按钮就能为各种DVR模型提供明文凭证。此外，之前提到的Shodan dorks还为获取漏洞利用所需的潜在设备列表提供了一个准确的来源，为攻击者最重要的两个问题（‘攻击谁’以及‘如何攻击’）提供了答案。

Fernandez表示，由于自己是阿根廷人，英语掌握的并不好，但是也可能正是由于其英文能力有限，所以自从他就CVE-2018-9995漏洞发布第一篇博客文章以来，该漏洞在过去一个月里并未受到物联网僵尸网络控制者的欢迎。不然的话，这种易于利用且能够授予设备访问权限的安全漏洞不应该会被攻击者忽视。

目前，并没有出现针对CVE-2018-9995漏洞进行大规模扫描的活动，而且在Fernandez发布这款工具之后，似乎也没有出现这种情况。

专注于汇总互联网扫描活动的GreyNoise Intelligence公司的创始人Andrew Morris表示，

我们没有发现任何人使用‘/login.rsp’或‘/device.rsp’来进行互联网扫描。

CVE-2018-9995会酿就下一个GoAhead灾难

即便现在并没有发现利用该漏洞的攻击活动，但是Anubhav认为这种良好的态势不会维持很久，尤其是在该漏洞的PoC发布在GitHub上之后。

Anubhav表示，

NewSky Security最近发现了一些武器化的物联网漏洞正在在野利用的案例，但它们仅限于特定的厂商，例如CVE-2017-17215（华为）、CVE-2017-18046（Dasan）以及ChimayRed（Mikrotik）。现在，随着CVE-2018-9995的加入，人们将会看到另一个与CVE-2017-8225（GoAhead）同等水平的跨供应商物联网设备漏洞所带来的灾难性影响。

Anubhav所说的CVE-2017-8225是一个影响GoAhead制造的IP安全摄像机固件的著名漏洞，而这些固件被该公司作为白标（white-label，即非品牌的）出售给了全球众多摄像头制造商。在过去的两年中，这些摄像头每天都会被大多数物联网僵尸网络用于实施网络攻击活动，以寻找新的设备进行感染。

凭借不同品牌的数万台在线暴露的TBK DVR、公开可用的PoC代码，以及易于使用的“脚本友好型”程序，CVE-2018-9995势必会在接下来的一年中成为扫描且利用次数最多的安全漏洞之一。

缓解建议

Anubhav表示，目前，除了修改PoC代码这条途径外，公司还可以检测到攻击并阻止它们。他指出，

PoC代码的使用可以很容易地被识别出来，因为它使用了模拟用户代理——（拼写错误的）‘Morzilla’和‘Pinux x86_128’，而不是Mozilla和Linux x86_128。不过，具备基本技能的攻击者可以根据自己的使用情况修改脚本，因为该漏洞利用非常直截了当。攻击者可以修改脚本中存在的用户代理字符串和其他常量来供自己使用。

尽管如此，公司仍然可以检测到访问“/login.rsp”或“/device.rsp”的链接路径，并阻止这些路径的尝试，从而只允许可信的IP访问DVR管理接口。

最后，Anubhav警告称，随着代码被公开，现在的问题并不在于易受攻击的设备是否受到了攻击，而是攻击者将会在不久之后发现它并将其用于在野攻击活动。