Overview
In early April, 2018, while analyzing CVE-2017-11510, I discovered another vulnerability in Wanscam HW0021 cameras. This vulnerability would allow an attacker to crash the ONVIF service on such a device.
Vulnerability Details
- Affected are all HW0021 cameras that have ONVIF services enabled (other devices using ONVIF may be affected too)
- To exploit the vulnerability, the attacker has to make a POST request to the ONVIF/SOAP-port with a “SOAPAction” Header
curl -X POST --header "SOAPAction: example" [http://[IP]:8080/] - This will make the ONVIF-service inaccessible for all users (killing the ONVIF service on the device)
The crash seems to be caused by an invalid SOAP-request, which the service may be unable to handle.
The ONVIF service provides features such as remote management and querying information about the device. These features will become inaccessible once the service is crashed.
An active check for this vulnerability can be found in the Greenbone Security Feed, using the OID 1.3.6.1.4.1.25623.1.0.113222.
Disclosure Timeline
- 2018/04/03: Informed Wanscam support about the vulnerability, provided Proof of Concept
Further informed Wanscam that the vulnerability will be disclosed if no advisory or fix is released within 90 days - 2018/04/05: Wanscam support asked for firmware version of the device
- 2018/04/06: Provided a sample list of affected firmware versions, but informed Wanscam support that vulnerability seems to be firmware-independent
- 2018/04/07: Wanscam support asked for a picture of the camera
- 2018/04/10: Provided a link to the product page (http://www.wanscam.com/productshow-7-56-1.html) and informed support that the vulnerability isn’t specific to a single device
- 2018/04/11: Wanscam support asked for the firmware version of the device – again
- 2018/04/12: Reminded Wanscam support that the vulnerability seems to be firmware-independent, or that at least several firmware versions seem to be affected – including the newest available
- 2018/04/15: Wanscam support asked for a screenshot of the device UI
- 2018/04/26: Informed Wanscam support that there seems to be an ongoing misunderstanding, asked Wanscam support to try the PoC on one of their test devices if they find the time
- 2018/04/26: Wanscam support asked for the firmware version of the device
- 2018/09/20: Disclosure
[A German version of the write up can be seen below]
Übersicht
Am 03. April 2018, während einer Analyse von CVE-2017-11510, entdeckte ich eine weitere Sicherheitslücke in Wanscam HW0021 Kameras. Diese Schwachstelle würde einem Angreifer erlauben, den ONVIF Service auf solch einem Gerät zum Absturz zu bringen.
Details zur Schwachstelle
- Betroffen sind alle HW0021 Kameras, auf denen ein ONVIF Service läuft (andere Geräte, welche ONVIF verwenden, könnten auch betroffen sein)
- Um die Sicherheitslücke auszunutzen, musst der Angreifer eine POST Anfrage mit einem “SOAPAction” Header an den ONVIF/SOAP-Port senden
curl -X POST --header "SOAPAction: example" [http://[IP]:8080/] - Dies wird den ONVIF Service für alle Benutzer unerreichbar machen
Der Absturz scheint durch eine ungültige SOAP-Anfrage ausgelöst zu werden, welche nicht vom Service bearbeitet werden kann.
Der ONVIF Service stellt ein Interface zur Fernverwaltung und für gerätebezogene Datenerhebung bereit. Diese Funktionen werden durch den Absturz des Services unverwendbar gemacht.
Ein aktiver Check für diese Sicherheitslücke befindet sicht im Greenbone Security Feed, mit der OID 1.3.6.1.4.1.25623.1.0.113222.
Veröffentlichungs Zeitstrahl
- 2018/04/03: Der Wanscam Support wurde über die Sicherheitslücke informiert, ein Proof of Concept wurde übermittelt
Wanscam wurde weiterhin darüber unterrichtet, dass die Sicherheitslücke veröffentlicht wird, sollte innerhalb von 90 Tagen kein Advisory oder ein Fix veröffentlich worden sein - 2018/04/05: Der Wanscam Support fragte nach der Firmware Version des Gerätes
- 2018/04/06: Dem Wanscam Support wurde eine Liste betroffener Firmware versionen übermittelt, jedoch wurde auch gleichzeitig darüber informiert, dass die Schwachstelle unabhängig von der Firmware Version zu sein scheint
- 2018/04/07: Der Wanscam Support fragte nach einem Bild der Kamera
- 2018/04/10: Dem Wanscam Support wurde ein Link zu der Produkt-Seite übermittelt (http://www.wanscam.com/productshow-7-56-1.html) und darüber informiert, dass die Sicherheitslücke sich nicht auf ein einzelnes Gerät bezieht
- 2018/04/11: Der Wanscam Support fragte – erneut – nach der Firmware Version des Gerätes
- 2018/04/12: Der Wanscam Support wurde daran erinnert, dass die Sicherheitslücke unabhängig von der Firmware-Version zu existieren scheint, oder zumindest in mehreren Firmware Versionen existiert – inklusive der neusten
- 2018/04/15: Der Wanscam Support fragte nach einem Screenshot der Benutzeroberfläche des Gerätes
- 2018/04/26: Der Wanscam Support wurde darüber informiert, dass es so scheint, als würde im bisherigen E-Mail-Verkehr ein anhaltendes Missverständnis vorliegen. Der Wanscam Support wurde darum gebeten, sofern es sich ergibt, den Proof of Concept gegen eines ihrer Testgeräüte zu prüfen
- 2018/04/26: Der Wanscam Support fragte nach der Firmware Version des Gerätes
- 2018/09/20: Veröffentlichung