亚马逊旗下的blink XT2安全摄像头系统曝出多个严重漏洞，可被攻击者利用来非法控制设备。

物联网（IoT）摄像头（和blink开源浏览器引擎不同）通常由无线摄像头和监控系统组成。而在周二，Tenable的研究人员透露，该摄像头的某些漏洞可以让无法接触到这些设备的攻击者非法查看摄像头镜头、接收音频，并劫持设备加入某个僵尸网络。目前亚马逊已知晓了这些漏洞，并发布了对应补丁。

Tenable的联合创始人兼首席技术官Renaud Deraison在一份声明中表示，正是因为摄像头无处不在，所以成为了犯罪分子的攻击目标。物联网设备制造商有义务在设计产品时就考虑到安全问题，而不是等出事后再补救。

此次blink摄像头共涉及7个CVE。其中最严重的漏洞是来自同步模块更新（CVE-2019-3984）的命令注入漏洞，主要和blink用于向设备提供更新信息或获取网络信息的云通信端点有关。

日常在检查更新时，设备会首先从网络中获取一个更新助手脚本（sm_update），然后立即运行它（无任何安全检查）。这意味着一旦攻击者能控制更新脚本的内容，就直接可以进行命令注入（不存在任何阻碍）。

研究人员表示，如果攻击者能（通过某种DNS中毒方法或劫持）中间人攻击这个请求，他们就可以控制所响应的脚本内容，以达到自己的目的。

研究人员通过劫持DNS，查找在blink同步模块上的.server变量，这样就可进一步劫持<blink for home cloud endpoint>/fw/update_tls/<version number>之类的请求，并返回自定义的内容（例如echo "Update hijacked." && id)。然后这些内容会被直接发送给/root/apps/connection/start_get_sm_update中的os.execute。

此外，一个名为get_network()函数缺乏安全检查（CVE-2019-3989）。该函数存在于设备上的其他帮助脚本中。研究人员表示，由于/root/apps/auth_gen/auth_gen中get_networks()函数所接收到的外部输出没有经过适当的检查（在直接传递给os.execute()之前），导致设备会以root权限执行恶意命令。

虽然这个函数在正常的操作过程中似乎并没有涉及到，但一旦被使用，那就是一个命令注入点。研究人员已经手动触发了这个漏洞，证实缺陷确实存在。

研究人员承认，虽然这两个漏洞危害较大，但只有已经连接到家庭网络的攻击者才能较好地利用。

Tenable首席研究工程师Jimi Sebree表示，虽然这些漏洞有可能被远程利用，但不太可能被外部攻击者所利用，其中某些劫持操作并不一定能成功，不过一旦成功就能让攻击者完全控制设备。

其他漏洞

研究人员还披露了其他5个不太严重的漏洞，包括blink中Wi-Fi配置参数所导致的4个漏洞，主要是由于一些内部管理脚本未对用户的输入进行安全检查（CVE-2019-3985，CVE-2019-3986， CVE-2019-3987， CVE-2019-3988）。这同样会导致某些恶意代码被注入脚本中，导致root权限的命令注入。研究人员还披露了一个暴露的排针的漏洞，可让攻击者串行连接到同步模块，通过默认凭证以root权限访问设备（CVE-2019-3983）。

不过，这些Wi-Fi配置参数的缺陷不太可能被攻击者所利用，因为这些参数一般在设备设置时才能接触到。这些漏洞，包括未受保护的UART接口（CVE-2019-3983），更有可能被研究人员或设备调试人员所误用，而不是单纯出于恶意。

亚马逊已经推出了针对这些漏洞的补丁，并敦促用户及时升级设备到2.13.11或更高版本。

亚马逊的一名发言人告诉Threatpost：“客户的信任对我们很重要，我们也非常重视设备的安全性。目前相关产品的用户已经收到了针对这些问题的自动安全更新。”

研究人员也表示，由于blink摄像头和同步模块与云服务器的连接和通信方式，安全更新通常能够自动执行。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/3367.html
来源：https://threatpost.com/amazon-blink-smart-camera-flaws/150962/