Friday, January 10, 2020

[Flir/Axper] Brickstream/Vision II: "RECUENTO Y SEGUIMIENTO DE PERSONAS" ( CVE-2018-3813 & CVE-2020-6848)

Temas como [hiper]vigilancia, privacidad, anonimato son temas que a muchas personas les preocupa y yo no soy ajeno a ello. Me picaba el tema y me puse a buscar ejemplos funcionales de seguimiento.

Los primero que me tope (ya lo sabíamos) eran los chinos, mirando todo (con cara de sospecha XD ):









En busca de nuevos #cacharros di con algunos sensores que se encargan justamente de "Trackear" todo lo que se mueve (personas).

El hallazgo corresponde a "Brickstream" de la firma FLIR y su portal web los presenta de esta manera: BRICKSTREAM; "RECUENTO Y SEGUIMIENTO DE PERSONAS"



Se promocionan como lideres de la solución. En donde aseguran tener desplegados mas de 200.000 sensores para el recuento y seguimiento de personas.



Video  institucional:



Aspecto de los dispositivos según su modelo:



Cacharros "In the Wild":
Me valgo de la indexaciones de shodan para calcular un numero aproximado de exposición (contra los supuestos 200k)  de cara a internet.




De las 54 posibilidades (Indexadas) al azar fui probando los distintos host y  hasta ahora en ningún caso encontré necesidad de credenciales para acceder al la administración de los equipos. y en gran mayoria están expuestos a Internet sin seguridad alguna. Solo necesitamos el host y el puerto correspondiente, que podrán ser; 80,443,8080,8081.

Aspecto web del panal de administración.



*** KARAMA BATMAN PARK *** 

Ahora sabemos donde esta instalado este equipo.



Tomemos toda su configuración !



Obtén toda la configuración del equipo  (CVE-2018-3813)

GET /getConfigExportFile.cgi HTTP/1.1

POC 1


POC 2



... y te haces con toda la configuración de estos equipos.








Axper, es otro proveedor que ofrece estos mismos dispositivos. 

El modelo "Vision II", es vulnerable a un XSS (CVE-2020-6848) presistente que a continuación se presenta:


El input "Device Name" es el vulnerable




Capturamos el POST enviado 


y establecemos un cambio  sobre la variable "Device Name".  Se inyecta un payload JS



Refrescamos e inmediatamente es posible evidenciar el evento inyectado  

El codigo resultante, es el siguiente:





Saludos
@Capitan_alfa

Ezequiel

Autor

0 comentarios:

Post a Comment

 
biz.