MACROSCOPの脆弱性（バージョン1.9.72以降に修正）

私は長い間情報セキュリティが好きでしたが、ソフトウェアの表面的なロジックを理解することと、内部実装のロジックを理解することはまったく別のことです。 外見上、どのプログラムも見事で調和がとれており、完全な安全とセキュリティの幻想を作り出しますが、深く掘り下げると、表面に不快な事実が存在し、ハッキングシステム、そして最終的にはデータの漏洩や損失、さらには一時的および経済的損失。 アプリケーションの脆弱性の理由は、平凡な不注意、壊滅的な時間の不足、アルゴリズムまたはアーキテクチャの複雑さ、作業の機能の無知、サードパーティAPIの実装、または利己的な意図などです。 この脆弱性またはその脆弱性の原因を具体的に判断するのは難しい場合が多くありますが、より重要な点は、それを排除する開発者の反応の速さです。



今日は、LLC Satellite（Perm）のSkolkovoテクノパークの居住者からIPカメラMACROSCOPのソフトウェアパッケージを知る過程で発見した脆弱性についてお話します。 MACROSCOPは単なるソフトウェアパッケージです。ソリューションには多くのアプリケーションが含まれているためです。MicrosoftWindowsファミリのオペレーティングシステム用のサーバーと「オールインワン」パーツ（開発者は最近Linuxソリューションの開発を放棄しました）、Windows、Android、iOS、Windowsのクライアントパーツ電話、コンフィギュレーター、Webカメラを接続するためのプログラム、独自の形式のファイルプレーヤー、アーカイブをローカルで表示およびバックアップするためのプログラム、システムの状態を監視するためのプログラム、さまざまなインテリジェントモジュール、および統合アプリケーション いくつかのサードパーティシステムと、SDKを介して任意のソフトウェアと統合するための十分な機会がある。 マクロスコップには多くの利点がありますが、それでも欠点がないわけではありません。欠点については、別の記事で説明できます。開発者は常に製品のネガティブな側面を宣伝するわけではありません。



発見された脆弱性は、文書化されていないスーパーユーザーアカウントに対する弱いユーザー名とパスワードの使用、およびこのアカウントを使用して一部のサーバー要求を実行する機能です。 MACROSCOPをテストするとき、カメラのアカウントとプログラム自体がどれだけ安全に保存されているかを確認する必要があり、その結果、「Current.CmnConf」構成ファイルが注目を集めました。 判明したように、カメラのパスワードはクリアテキストで保存され、プログラムアカウントのパスワードはmd5ハッシュの形式であり、ほとんどの場合、可逆的に暗号化された形式です。 構成ファイルを調べていると、SuperUserとSuperPassの行に加えて、リモートでハッシュに似た2つの連続した行に出くわしました。 クライアントアプリケーションとコンフィギュレータを使用した認証にこのペアを使用しようとしても、目的の結果は得られませんでしたが、これは何かに必要であり、どこかで動作するはずだという考えを捨てませんでした。 このアカウントに関するユーザーマニュアルには言葉がなかったため、マクロスコプSDKを使用して外部モジュールを開発するためのドキュメントを調査することにしました。ここでも情報を見つけることができませんでしたが、プログラムからデータストリームを受信するためにHTTPインターフェイスを使用する説明に興味がありました。 次のようなクエリでこのペアの使用を確認しようとしたときの驚きを想像してください。



server:8080/video?channel=""&login=superuser&password=superpass







このリクエストをチェックすることは私の期待を満たしていました。ブラウザは指定されたリンクにデータを保存することを提案し、これは「ストリート」という名前のチャンネルからのリアルタイムビデオストリームに他なりません。 次に、ビデオシステムのすべてのチャンネルの名前を取得する方法について質問がありました。 開発者自身がSDKでこの質問への回答を提供します。MACROSCOPでチャンネル名、識別子、設定を取得するには、次のリクエストを実行する必要があります。



server:8080/configex?login=superuser&password=superpass







要求への応答はxml形式で提供されます。 この応答に基づいて、任意のチャネルからリアルタイムビデオのリクエストを生成できます。 一見したところ、プログラムの内部目的のために開発者が文書化されていないアカウントを使用したという事実には特別なことは何もないように見えましたが、漠然とした疑いに苦しみ、そこで止まらないことに決めました。



このアカウントがどのように形成されるかを完全に理解することにしました。 MACROSCOPプログラムとライブラリは、主に.NETソフトウェアプラットフォーム向けに作成されているため、.NET Reflectorプログラムを使用してそれらを調査する必要がありました。 キーワードによる検索には時間がかかりませんでした。興味のあるコードは、CommonConfigクラスの実装のCommon.dllライブラリで見つかりました。

 Random random = new Random(); byte[] buffer = new byte[21]; byte[] buffer2 = new byte[21]; random.NextBytes(buffer); random.NextBytes(buffer2); this.SuperUser = SDKCommon.MD5Hash(Encoding.UTF8.GetString(buffer)); this.SuperPass = SDKCommon.MD5Hash(Encoding.UTF8.GetString(buffer2));
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

MACROSCOPでは、最初の構成を適用するときにこのコードが使用され、プログラム設定からアクセスできないスーパーユーザーアカウントが作成され、特定の特権があり、常に変更されません。 Randomクラスのインスタンスが初期化され、特定の長さの任意のデータの2つの配列が取得され、それらから文字列が受信され、最終的にmd5ハッシュになることがコードからわかります。 任意のデータシーケンスと不可逆変換を使用するのは、トリックではないように見えますが、Randomクラスを使用しない限り、この記事に脆弱性はありません。



MACROSCOPの脆弱性の根本原因は、標準の.NETクラスRandomの使用にあります。これにより、妥当な時間内に取得できるアカウントが生成されます。 実際、このクラスはGetTickCountシステム関数を呼び出して取得した32ビット値を使用して、コンピューターの電源を入れてから経過したミリ秒数である擬似乱数の配列を初期化します。 したがって、この番号に基づいて、ユーザー名とパスワードのペアが形成されます。 このペアは、コンピューターの電源を入れてから最初の構成が適用されるまでの経過時間の可能な値をすべて列挙することで検出できます。 この問題は、ほとんどの場合、コンピューターの電源を入れてから最初の構成が適用されるまでの時間がほとんど経過しないという事実によっても悪化します。 たとえば、コンピューターの電源を入れてから1時間後に最初の構成が適用された場合、360万の組み合わせ（1時間* 60分* 60秒* 1000ミリ秒）のみをチェックする必要があります。 コンピューターの電源が非常に長い間オンになっている場合でも、ブルートフォースによる攻撃をそれほど複雑にすることはありません。 Randomクラスは32ビットの符号付き数値のモジュラスの値を初期化するために使用するため、入力値の数は最終的に31ビットの数値に制限されます。 したがって、列挙の組み合わせの最大数は2 ^ 31（2147483648）の値であり、コンピューターの電源を入れてから最初の構成が適用されるまでの時間は約25日間で、その後カウントダウンは最初から始まります。 検索は、チャネル名、その識別子および設定を受信するために以前に指定された要求を使用して実行されます。 理想的な条件（少なくとも50 Mbpsの送信サーバーチャネル速度、マルチコアプロセッサ、低プロセッサ負荷）では、検索速度は毎秒約5000アカウントに達することがあります。 つまり、コンピューターの電源を入れてから1時間後に最初の構成が適用された場合、アカウントの列挙時間は12分以内になります。 また、営業時間中にコンピューターの電源がオンになった推定時間を考慮すると、検索時間を短縮することもできます。たとえば、営業日および営業時間中にコンピューターの電源をオンにできる場合、検索時間は3.7倍に短縮できます。



選択したアカウントは、特定の目的で将来使用できます。 私が発見したもののうち-これは、前述のように、すべてのチャネルでリアルタイムにビデオを表示する機能と、サーバーの任意の構成を使用する機能です。 最後の機会は最大の脅威です サーバーを完全に制御できます。 簡単な表現では、構成変更に対する攻撃は次のように実装されます。攻撃者は構成変更のリクエストを準備できます。たとえば、サーバーへのリモートアクセスを提供するカメラの1つに対してスクリプトが実行されます。 このリクエストでは、以前に受け取ったアカウントと、リビジョン番号、識別子、構成変更の日付などが使用されます。 攻撃者がサーバーに侵入すると、バックドアがインストールされ、ログファイルが変更され、古い構成がバックアップから復元されます。



予備検証によると、スーパーユーザーアカウントは、たとえばチャネルレコードのアーカイブと現在の構成にアクセスするために使用することはできません（私は間違っている可能性があります）が、高い確率で、開発者がすべき他の目的に使用できますよく知られています。



開発者はMACROSCOPの脆弱性について通知を受け、2週間後（2014年3月12日）、プログラムバージョン1.9.72のリリースでそれをクローズしました。 ビルトインアカウント生成コードは次のようになります。

 byte[] data = new byte[21]; byte[] buffer2 = new byte[21]; try { RNGCryptoServiceProvider provider = new RNGCryptoServiceProvider(); provider.GetBytes(data); provider.GetBytes(buffer2); } catch (Exception exception) { b1x.a(exception, "dsfimdfsmsdfdkfskfds"); Random random = new Random(Guid.NewGuid().GetHashCode()); random.NextBytes(data); random.NextBytes(buffer2); } Buffer.BlockCopy(Guid.NewGuid().ToByteArray(), 0, data, 0, 8); Buffer.BlockCopy(Guid.NewGuid().ToByteArray(), 0, buffer2, 0, 8); this.SuperUser = SDKCommon.MD5Hash(Encoding.UTF8.GetString(data)); this.SuperPass = SDKCommon.MD5Hash(Encoding.UTF8.GetString(buffer2));
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

新しいバージョンのコードは、Guidと混合したランダムデータを生成する暗号化クラスを使用します。これにより、アカウントを選択することは実質的に不可能になります。さらに、開発者は、以前に指定した2つのサーバーリクエストでこのアカウントを使用する可能性を閉じました。 それでも、このアカウントは構成の適用時に使用されますが、この場合の検索速度ははるかに遅くなります。サーバーへの最小要求は約10 Kbで、これは以前の方法の10倍のトラフィックであり、更新のリスクがあるもののみが残ります古いユーザー。 実際には、既存の構成では、プログラムの新しいバージョンをインストールするときにいくつかのハッシュが変更されないため、この手順は独立して実行されるだけです。 最も重要なことは、マルチサーバー構成が使用される場合、いくつかのハッシュと、それに応じて、構成自体がすべてのサーバーで一致する必要があることです。 そうしないと、新しい構成を適用するときに競合が発生します。 したがって、バージョン1.9.72からプログラムを使用し始めたばかりの新しく作成されたMACROSCOPユーザーの場合、この脆弱性は恐れられませんが、古いユーザーの場合、次のように除去できる小さなリスクがあります。



-コンピューターでMacroscopServerサービスを停止するか、スタンドアロンバージョンをシャットダウンします。

-プログラムフォルダーにある16進エディターで構成ファイル「Current.CmnConf」を開きます（最初にファイルのバックアップコピーを作成することをお勧めします）。

-ファイルに「Alarus.Config.SystemEditions」という行、つまりエントリの2番目の結果があります。

-検索結果のすぐ下に32文字の長さの2行があります-これはビルトインアカウントのデータです。

-文字列の長さを変更せずに、セット「0123456789ABCDEF」の有効な文字を考慮して、文字列の内容を任意の値に変更します。

-設定を保存します。

-サービスのプログラムまたはスタンドアロンバージョンを実行します。

-マルチサーバー構成を使用する場合、同じアクションを実行し、以前に編集した値のみを文字列として使用するか、構成を修正したものに置き換えます。



要約すると、すべての開発者が標準のRandomクラスを使用して間違いを繰り返さず、ランダムデータ生成アルゴリズムの暗号化実装を使用し、アプリケーションの潜在的な脅威に迅速に対応することを望みます。