首页 > 安全钻研 > 安全传递 > 安全公告

海思芯片存在后门风险公告

颁布功夫 2020-02-06

缝隙编号和级别

CVE编号：暂无，危险级别：高危，CVSS分值：官方未评定

影响版本

https://github.com/tothi/pwn-hisilicon-dvr#summary

缝隙概述

海思是一家总部位于深圳的中国半导体公司，从属于华为，也是中国最大的集成电路设计公司，其芯片被全球数以百万计的物联网设备所使用，蕴含安全摄像头、DVR和NVR。

近期，俄罗斯安全专家Vladislav Yarmak颁布了在海思芯片中发现的后门的利用详情，利用后门能够让攻击者获得指标设备中root权限的shell，齐全节造住设备。

最新的固件版本固然默认禁用了Telnet接见和调试端口（9527/tcp），但打开了9530/tcp端口，能够通过向蕴含海思芯片设备的9530端口发送一系列特殊号令来利用后门。这些号令可让攻击者在指标设备上启用Telnet服务，接着就能够使用以下六个默认Telnet痛处之一进行登录，获得一个root权限的shell。

GA黄金甲·(中国区)官方网站

后门激活流程如下：

1.客户端衔接指标设备的9530端口，发送字符串OpenTelnet:OpenOnce，该字符串前面要加上批示新闻长度的字节。该步骤对于以前版本的后门利用是最后一步。若是此步骤后没有响应，则telneted服务可能已经运行。

2.服务端（指设备）会回复randNum:XXXXXXXX，其中XXXXXXXX是8位随机数字。

3.客户端使用预共享密钥作为加密密钥，共同随机数进行以下步骤。

4.客户端利用加密密钥加密随机数字，附加在randNum:之后，再在头部增长总长度的字节，而后发送给服务端。

5.服务端从/mnt/custom/TelnetOEMPasswd加载预共享密钥，或直接使用默认密钥2wj9fsa2。

6.服务端对随机数进行加密，并验证了局是否与客户端发送过来是否一样。验证成功回复verify:OK，不然回复verify:ERROR。

7.客户端加密字符串Telnet:OpenOnce，前面带上总长度字节，CMD:字符串，而后发送给服务端。

8.服务端解密出接受到的号令。若是得到的了局蹬宗字符串Telnet:OpenOnce，就会回复Open:OK，开启调试端口9527，启动telnet服务。

缝隙验证

PoC：https://github.com/Snawoot/hisilicon-dvr-telnet。

用法：./hs-dvr-telnet HOST PSK

其中PSK默认是2wj9fsa2

示例用法

GA黄金甲·(中国区)官方网站

建复建议

目前厂商还未建复缝隙，可采取一时防御措施：用户能够凭据必要限度对受影响设备的网络接见，只允许受信赖的用户进行接见。

参考链接

https://habr.com/en/post/486856/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

海思芯片存在后门风险公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线