Jump to content
YOUR-AD-HERE
HOSTING
TOOLS

Locked Using Metasploit to Access Standalone CCTV Video Surveillance Systems[ESPAÑOL]

BreakPoint

By INACTIVE BreakPoint
in Hacking

 Share

Recommended Posts

BreakPoint Amateur

INACTIVE BreakPoint

Posted
Posted

Un nuevo modulo del MSF descubre y testea la seguridad de numerosos CCTV(Circuito cerrado de television) o conocidos como sistemas de videovigilancia.

Dichos sistemas son usados en pequeñas empresas,vecindarios,residencias personales y entornos de negocios como parte de su política de seguridad física.

Sin embargo muchos de estos sistemas son vulnerables a la explotación, que pueden permitir a los atacantes el acceso remoto.

Este acceso remoto, activado por defecto, puede permitir no sólo la posibilidad de ver vídeo en tiempo real si no también el control de las cámaras (si es compatible) y facilitar el acceso a imágenes de archivo.

Muchos propietarios de sistemas de CCTV de vigilancia de vídeo puede incluso no ser conscientes de las capacidades del dispositivo de acceso remoto como la vigilancia puede llevarse a cabo exclusivamente a través de la consola de vídeo local.

Esto aumenta aún más la probabilidad de que los atacantes logren / persistencia de acceso remoto, sin ninguna indicación al propietario de que su sistema de video vigilancia y material archivado se puede acceder de forma remota a sistemas de videovigilancia por Microdigital, HiVision, CTRing, y un número importante de otros dispositivos renombrados.

 

Detalles Técnicos

La interacción con el CCTV se puede lograr a través de un cliente de Win32 thick client,un dispositivo movil(Android / iPhone / Windows Movil) o un control Activex de IE en el que se requiere un nombre de usuario y una contraseña.

This is the hidden content, please

Por lo general, en más del 70% de los casos, el dispositivo aún está configurado con la contraseña por defecto que permite a los proveedores de acceso trivial para video en tiempo real, la capacidad de controlar las cámaras PTZ (

This is the hidden content, please
), y el acceso a cualquier material archivado.

Desafortunadamente (para nosotros) en este caso, la contraseña por defecto había cambiado y exigia un enfoque más agresivo.

 

El primer paso fue obtener una mejor comprensión del mecanismo de autenticación.

Al final resultó que el control ActiveX no era consciente de representación, y no manejaba la autenticación a través del protocolo HTTP.

 

Usando Wireshark.

 

Wireshark reveló que el cliente ActiveX controla la autenticación a través del puerto 5920/TCP, en primer lugar el envío de un paquete de 8 bytes (notifica al servidor a prepararse para la autenticación), seguido por un paquete de 128 bytes que contiene el nombre de usuario y una contraseña (en texto) .

 

This is the hidden content, please

 

La figura anterior muestra el flujo TCP de datos enviados y recibidos, a continuación por el control ActiveX. El primer intento fue "admin" de usuario y una contraseña '1234 ' en el que el cliente ActiveX devolvió el mensaje "error de contraseña".

En la siguiente imagen trató con "prueba" de usuario y una contraseña de '1234 '. Este intento devolvió una respuesta "error de Identificación", así como una secuencia diferente de bytes, como se puede observar en la figura a continuación.

 

This is the hidden content, please

En base a las diferentes respuestas, sabemos que es posible confirmar los usuarios válidos, así como los usuarios no válidos. Pero ¿qué pasa con otros tipos de respuestas de autenticación? Hay numerosos métodos que se pueden utilizar para lograr esto, como la ingeniería inversa en el control ActiveX, utilizando un proxy de red genérico o através de un ataque de MITM (man-in-the-middle).

 

En este caso la solucion mas eficaz fue la de utilizar un proxy como Echo Mirage, que puede ser utilizado para interceptar y modificar los datos de la red de aplicaciones compatibles.Como se demuestra en la siguiente figura, esta herramienta se puede conectar a la ejecución del proceso (iexplorer.exe) y después al tráfico de respuesta interceptada y modificada con el fin de clasificar las respuestas de las aplicaciones desconocidas.

 

This is the hidden content, please

Ettercap sera utilizado para realizar el MITM porque tiene la capacidad de aplicar los filtros que pueden ser utilizados para interceptar y modificar paquetes en el cable.

Esta capacidad se puede aprovechar para enumerar las diferentes respuestas posibles del cliente ActiveX. La siguiente figura muestra un filtro utilizado para modificar un valor conocido ("error de contraseña"), con una respuesta de la red aún no clasificadas, "00 01 05 01 00 00 00 00".

 

if (ip.proto == TCP && tcp.src == 5920) {

replace(“\x00\x01\x03\x01\x00\x00\x00\x00”, “\x00\x01\x05\x01\x00\x00\x00\x00”);

msg(“Filter executed.\n”); }

 

La ejecución de este filtro puede acceder a la interfaz de cámara de CCTV ActiveX, lo que indica una respuesta de autenticación exitosa, sin embargo, no hay señales de video. Pero el lado positivo, es que hemos clasificado ahora otro tipo de respuesta del servidor. La siguiente tabla muestra las respuestas \ x00 a \ x09.

 

[table=width: 500, class: grid, align: center]

[tr]

[td]Response Value[/td]

[td]ActiveX Client Response[/td]

[/tr]

[tr]

[td]\x00\x01\x00\x01\x00\x00\x00\x00[/td]

[td][/td]

[/tr]

[tr]

[td]\x00\x01\x01\x01\x00\x00\x00\x00[/td]

[td][/td]

[/tr]

[tr]

[td]\x00\x01\x02\x01\x00\x00\x00\x00 [/td]

[td]“id error”[/td]

[/tr]

[tr]

[td]\x00\x01\x03\x01\x00\x00\x00\x00[/td]

[td]“password error”[/td]

[/tr]

[tr]

[td]\x00\x01\x04\x01\x00\x00\x00\x00[/td]

[td]“no network user”[/td]

[/tr]

[tr]

[td]\x00\x01\x05\x01\x00\x00\x00\x00[/td]

[td][/td]

[/tr]

[tr]

[td]\x00\x01\x06\x01\x00\x00\x00\x00[/td]

[td][/td]

[/tr]

[tr]

[td]\x00\x01\x07\x01\x00\x00\x00\x00[/td]

[td][/td]

[/tr]

[tr]

[td]\x00\x01\x08\x01\x00\x00\x00\x00[/td]

[td][/td]

[/tr]

[tr]

[td]\x00\x01\x09\x01\x00\x00\x00\x00[/td]

[td][/td]

[/tr]

[/table]

Ahora que podemos determinar los usuarios válidos / no válidos, así como las respuestas de autenticación éxito o no, podemos construir un software de fuerza bruta inteligente válidos sobre el protocolo propietario.

 

Usando Metasploit.

 

En este caso, hemos creado un módulo que nos permitió descubrir con éxito estos sistemas en otras partes de la red, determinar las cuentas de usuario válidas, excluir a las cuentas no validas y luego los inicios de sesión de fuerza bruta. Durante este ejercicio, descubrimos que el 70% de los casos utilizados tenían contraseñas por defecto de proveedores que no habían sido cambiadas. Por lo tanto incluiremos en el módulo una lista de contraseñas comunes utilizados para los dispositivos de videovigilancia

 

msf > use auxiliary/scanner/misc/cctv_dvr_login

msf auxiliary(cctv_dvr_login) > set RHOSTS 10.10.1.14

RHOSTS => 10.10.1.14

msf auxiliary(cctv_dvr_login) > exploit

 

[*] 10.10.1.14:5920 CCTV_DVR - [001/133] - Trying username:’admin’ with password:”

[-] 10.10.1.14:5920 CCTV_DVR - [001/133] - Failed login as: ‘admin’

[*] 10.10.1.14:5920 CCTV_DVR - [002/133] - Trying username:’user’ with password:”

[-] 10.10.1.14:5920 CCTV_DVR - [002/133] - Invalid user: ‘user’

[*] 10.10.1.14:5920 CCTV_DVR - [003/133] - Trying username:’admin’ with password:’admin’

[-] 10.10.1.14:5920 CCTV_DVR - [003/133] - Failed login as: ‘admin’

[*] 10.10.1.14:5920 CCTV_DVR - [004/133] - Trying username:’admin’ with password:’1111’

[+] 10.10.1.14:5920 Successful login: ‘admin’ : ‘1111’

[*] Confirmed IE ActiveX HTTP interface (CtrWeb.cab v1,1,3,1): http://10.10.1.14:80

[*] Scanned 1 of 1 hosts (100% complete)

[*] Auxiliary module execution completed

 

Después de esta prueba de penetración hicimos consultas a las empresas locales que venden-instalan estos tipos de sistemas de videovigilancia. Nos dijeron que estos dispositivos se compran "por la caja", ya que son una las mejores soluciones rentables.

 

This is the hidden content, please

 

Estos dispositivos tienen una importante base de despliegue global con fuertes concentraciones en los Estados Unidos, Rusia, Japón, China y Corea del Sur.

 

Cabe mencionar que las empresas que quieren proteger contra este tipo de ataque deben cambiar las contraseñas por defecto de proveedores, el uso de contraseñas seguras, un filtro de acceso para que sólo los hosts de confianza puedan ingresar y ponerlo fuera del alcance a internet si es absolutamente necesario.

El módulo para testear estos dispositivos ya está disponible en el Metasploit Framework. Basta con descargar y actualizar Metasploit a la última versión.

 

 

Bueno dicho articulo lo traduje para traerlo hasta aqui pero tambien puedes leerlo en

This is the hidden content, please

Link to comment
Share on other sites
Guest
This topic is now closed to further replies.
 Share
Go to topic listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.