威胁快讯 | 腾讯Tencent Blade Team首度公开，恶意代码威胁全球摄像头

北京时间2018年9月18日，Tenable官网上公开了由京晨科技（NUUO）公司开发的NVRMini2设备管理系统存在缓冲区溢出漏洞（代号为Peekaboo，CVE-2018-1149）的相关公告，腾讯Tencent Blade Team云安全团队从2018-09-20 05:03:42 UTC开始，首次监控到互联网上有恶意代码正在利用此漏洞进行传播，据悉，该漏洞威胁到全球超过100个品牌的数十万款摄像头设备。

漏洞相关细节

NVRMini2是由NUUO提供的一套兼具NAS功能的轻巧便携式NVR解决方案，广泛用于零售、交通、教育、政府和银行等行业。它所使用的web服务的公共网关接口协议（CGI）没有对cookie参数进行严格校验，这导致攻击者可以通过输入大量恶意代码，对sprintf函数进行堆栈缓冲区溢出攻击，最终可导致攻击者以root权限或管理员身份远程执行任意命令，包括访问当前视频流及历史存储文件，操纵设备进行挖矿、执行DDoS攻击命令等，为数据隐私和网络安全带来了极大威胁隐患。

据公开资料显示，Peekaboo漏洞的影响范围较广，波及超过100个品牌、2500款不同型号的摄像头，以及数十万设备。目前在FOFA系统使用“NUUO-NVRmini”搜索，发现最新数据显示全球范围内共有19662个暴露在公网。其分布如下图所示：

其中美国、德国和日本使用最多。此外，攻击者也在模块中加入了SSH爆破，从而使木马能够蠕虫式传播，影响范围较大。

攻击过程剖析

恶意代码首先通过如下payload尝试让设备下载一个恶意的shell文件并执行。

worldwest.sh脚本分为两个模块，一个模块用于挖矿，另一个模块用于扫描传播。

挖矿模块采用了Github中开源的挖矿木马，此处不再赘述。

扫描模块中主要包含两个部分，cpconnectzmap*扫描80端口，利用Peekaboo漏洞二次传播，另一部分bruteforce_ssh__*则是对ssh服务进行爆破。

IOC

目前捕获到的扫描源

控制端C2

样本MD5

关于Tencent Blade Team

Tencent Blade Team由腾讯安全平台部创立，专注于AI、移动互联网、IoT、云安全、无线电等国际范围内的前沿技术领域安全研究。目前，Tencent Blade Team已报告了谷歌、苹果、Adobe等多个国际知名厂商70多个安全漏洞，得到互联网行业、厂商以及国际安全社区的广泛认可。未来，Tencent Blade Team将持续致力于为互联网与科技发展的保驾护航。