大量AirLive IP監控攝像機被曝存在命令注入漏洞，攻擊者可利用該漏洞竊取用戶登錄憑證并控制設備。

[[139645]]

漏洞原理及影響范圍

OvisLink公司制造的大量AirLive IP監控攝像機中都存在著命令注入漏洞，通過該漏洞，網絡攻擊者可以解碼用戶登錄憑證，并可以完全控制監控設備。根據Core安全公司的專家們的消息，至少5種不同型號的AirLive監控攝像機都受此漏洞的影響。這5種型號的監控攝像機分別如下：

1、AirLive BU-2015，固件版本1.03.18 16.06.2014

2、AirLive BU-3026，固件版本1.43 21.08.2014

3、AirLive MD-3025，固件版本1.81 21.08.2014

4、AirLive WL-2000CAM，固件版本LM.1.6.18 14.10.2011

5、AirLive POE-200CAM v2 ，固件版本LM.1.6.17.01

研究人員Nahuel Riva解釋道，AirLive攝像機MD-3025、BU-3026和BU-2015都受命令注入漏洞的影響，該漏洞存在于二進制文件cgi_test.cgi中。如果攝相機主人并沒有將默認配置改變為強制使用HTTPS，那么攻擊者將可以在未經身份認證的情況下請求該文件，而其實現方式就是通過注入任意命令到操作系統中。通過這種攻擊，黑客可以訪問由AirLive相機管理的所有信息，包括MAC地址、模型、硬件和固件版本以及aiother敏感細節。發布的博文中陳述道：

另外兩種相機WL-2000CAM和POE-200 CAM，同樣存在CGI文件中類似的漏洞，該漏洞允許運行一個命令注入操作。而AirLive相機的這兩種型號中都對登錄憑證進行了硬編碼，這就使得攻擊者可以很容易地檢索并解碼該憑證。

漏洞POC

下面的POC復制了web服務器root目錄下的文件，該文件中包含了硬編碼的用戶憑證：

<a href="
http://<Camera-IP>/cgi-bin/mft/wireless_mft?ap=testname;cp%20/var/www/secret.passwd%20/web/html/credentials">http://<Camera-IP>/cgi-bin/mft/wireless_mft?ap=testname;cp%20/var/www/...</a>

然后，可以通過以下請求來獲取到用戶憑證：

<a href=
"http://<Camera-IP>/credentials"
>http://<Camera-IP>/credentials</a>

Core安全公司曾嘗試多次與該廠家聯系，以期望解決AirLive監控相機的這個問題，但是一直沒有得到對方答復。