快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

罗技智能家居治理体系(Logitech Harmony Hub)漏洞阐发

harmony-hub-1.png

近期,火眼公司Mandiant Red Team团队发现,罗技智能物联网家居治理体系Logitech Harmony Hub存在多个可行使漏洞,攻击者可行使这些漏洞,绕过体系制约,通过SSH方式获取到设备体系的治理权限。Logitech Harmony Hub是一款集成了软硬件的智能家居治理连接体系,攻击者可以通过漏洞控制Logitech Harmony Hub,对内陆收集内的智能家居体系形成攻击威胁。由于Harmony Hub支持的设备包括对智能锁、智能恒温器和其他智能家庭设备,使用该产品的用户会面临严重安全危害。

触及漏洞

欠妥的证书验证方式

安全的更新过程

开发者遗留在固件镜像中的调试信息

空暗码的root用户

影响产品

Harmony Elite, Harmony Pro, Harmony Home Hub, Harmony Ultimate Hub, Harmony Hub, Harmony Home Control, Harmony Smart Control, Harmony Companion, Harmony Smart Keyboard, Harmony Ultimate and Ultimate Home。

漏洞阐发

Mandiant团队使用漏洞行使组合方式终极root掉了Logitech Harmony Hub,这篇文章分享了漏洞发现的测试以及阐发过程,黑客网,也从侧面反映出,在与人们生活起居息息相干的智能家居时代,无比有必要对此类产品进行严格的安全性测试。

前期预备

一些地下的研究表明,在Logitech Harmony Hub上的某些硬件测试点上存在一个通用异步收发传输器 (UART),我们把跳线焊接到测试点(Test pad)上,如许我们就能够使用USB串行电缆的TTL方式连接到Logitech Harmony Hub上。启动过程的初始阐发显示,Harmony Hub行使U-Boot 1.1.4启动,并运举动一个Linux内核:

01.png

在对该测试点的启动引导过后,由于内核未设置有别的控制接口,控制端没有过量输出返归信息显示,以后,我们在U-Boot中设置了内核启动参数来观察全部启动引导过程,然则也没发现任何有效信息。此外,UART接口设置仅为传输,通过其也不能完成别的与Harmony Hub的交互。为此,我们把研究重点转向Harmony Hub内置的Linux操作体系以及相干运行软件上。

固件恢复以及数据提取

在初始设置阶段,Harmony Hub上的内置APP应用可通过蓝牙用Android或iOS应用程序与其配对控制。由此,我们行使hostapd工具创建了一个摹拟的无线AP接入环境,并在测试用的Android设备上装置了Burp Suite Pro证书,用以监听Harmony应用程序与Harmony Hub以及外网的收集通讯。一旦初始的蓝牙配对成功,Harmony APP应用就会搜索收集内的Harmony Hub设备,并通过基于API的http方式与设备通讯。

02.png

另外,Harmony Hub会向一个遥端互联网的罗技服务器发送当前的固件版本信息,以检测是否存在可用的固件更新。要是有,遥端的罗技服务器会通过返归一个包含最新固件版本的URL信息进行响应。

绝管我们使用了自署名证书来拦截监听Harmony Hub发送的HTTPS流量,但我们照样能够观察到全部收集要求响应过程,由此也表明Harmony Hub未对证书的有用性进行过验证。

03.png

04.png

我们获取了固件并对其进行了阐发,经过对其中几层目录的提取后发现,首要固件文件存储在镜像的squashfs文件夹中,从中可发现,全部镜像为开源的且为lzma压缩的SquashFS文件体系,这类体系多应用于嵌入式设备中。然则,供应商通常会使用与最新的squashfstools版本不兼容的squashfstools旧版本。以后,我们使用 firmware-mod-kit 工具包中的unsqashfs_all.sh脚原先获取unsquashfs版本信息,并进行后续的镜像信息提取。

05.png

通过提取的镜像文件发现,其中存在一些Harmony Hub操作体系的具体设置信息,另外,在镜像中还遗留了种种调试信息,如未strip清除的内核模块等。

06.png

在对 /etc/passwd 检查后发现,竟然root用户根本就没配置暗码,是空暗码。也就是说,要是能完成dropbear SSH server的启用,那么就能轻松获取Harmony Hub的root走访权限。

07.png

Dropbear是一个开源的,轻量化SSH服务器以及客户端程序,它运行在一个基于POSIX的种种平台,尤为是一些嵌入式的Linux设备体系中。

我们发现,要是文件体系中存在file/etc/tdenetable,则在初始化期间将会启用一个dropbear SSH server实例。

08.png

固件更新挟制

在初始化过程中,Harmony Hub会要求一个罗技API上的 GetJson2Uris 终端,来获取一个后续能用到的URL列表,这些URL可用于固件的更新检测或别的软件包获取。

09.png

我们拦截并修改了服务器响应中的JSON对象,将GetUpdates属性指向我们本人的IP地址。

10.png

与固件更新过程类似,Harmony Hub向由GetUpdates指定的终端发送了一个POST要求,其中包含了当前内部软件包的种种信息。下列为一个对HEOS包的要求示例:

11.png

要是POST要求中的sysBuild参数与当前遥端罗技服务器中的版本不匹配,则遥端罗技服务器会返归一个包含新版软件包的初始响应,由于某个未知缘故起因,Harmony Hub忽略了这个响应,并接着再次发送了第二个要求,遥端罗技服务器在对这个要求的响应中,就包含了指向固件更新的URL。

12.png

通过该URL,我们下载阐发了其中为ZIP格式的 .pkg 文件,其中包含了一个简单的文件结构。

13.png

其中的manifest.json文件里有一些Harmony Hub更新过程中怎么样处理压缩包的信息。

14.png

update.sh就是压缩包中Harmony Hub的固件更新脚本,按照前面的阐发,我们更改了该脚本,创建了/etc/tdeenable文件,使得在启动引导过程中能开启SSH接口来进行连接。

15.png

以后,我们在内陆本人控制的Web服务器上托管了一个.pkg格式的恶意压缩包,当Harmony Hub检查固件更新,并向GetJson2URIs提议要求更新时,由于我们在响应中进行了一些改动,在其URL响应时,我们会把配置的恶意更新包替代成原始更新包,如许一来,Harmony Hub终极更新的将是我们事前组织的恶意更新包。只需设备一重启,SSH接口就会自动开启,我们也能顺利地以空暗码的root账户连接到设备体系中去。

16.png

总结

随着嵌入式智能手艺在生活中的广泛应用,很多像Logitech Harmony Hub的IoT物联网设备都使用了通用的处理器以及体系架构,攻击者可以行使这些架构漏洞,添加置换进入一些恶意软件包,对目标设备体系形成安全威胁。好在我们及时把漏洞上报给了罗技官方,他们无比重视,并迅速发布了 版本为4.15.96的修复固件,在此,希翼罗技相干用户请及时参照更新指南绝快更新。

*参考来源:fireeye,FreeBuf 小编 clouds 编译,

您可能还会对下面的文章感兴趣: