Pwn2Own Ireland 2024 Synology TC500摄像头格式化字符串漏洞分析
💡
原文中文,约6600字,阅读约需16分钟。
📝
内容提要
InfoSect在2024年Pwn2Own比赛中研究了Synology TC500智能摄像头的格式化字符串漏洞,虽然未能成功利用,但揭示了攻击面和漏洞利用方法,包括信息泄露和任意写入。最终,Synology发布了固件更新修复了该漏洞。
🎯
关键要点
-
InfoSect在2024年Pwn2Own比赛中研究了Synology TC500智能摄像头的格式化字符串漏洞。
-
虽然未能成功利用该漏洞,但揭示了攻击面和漏洞利用方法,包括信息泄露和任意写入。
-
摄像头的固件可公开下载,攻击面包括webd和streamd两个开放端口。
-
发现漏洞的关键在于对process_new_connection函数的修改,导致格式化字符串漏洞的产生。
-
漏洞利用的第一步是信息泄露,通过覆盖栈中的指针来获取HTTP版本字符串。
-
使用栈写原语可以覆盖任意指针,实现任意写入。
-
结合信息泄露和任意写入,可以实现任意读原语。
-
最终目标是通过覆盖__free_hook为system()的地址来获取远程Shell。
-
在提交利用代码前,Synology发布了固件更新修复了该漏洞。
❓
延伸问答
Synology TC500摄像头的格式化字符串漏洞是如何产生的?
该漏洞源于对process_new_connection函数的修改,导致原始request_uri被当作格式字符串直接用于snprintf。
InfoSect在Pwn2Own比赛中对该漏洞的研究结果是什么?
虽然未能成功利用该漏洞,但揭示了攻击面和漏洞利用方法,包括信息泄露和任意写入。
Synology是如何修复TC500摄像头的漏洞的?
Synology发布了固件更新,修复了该格式化字符串漏洞。
该漏洞的攻击面包括哪些开放端口?
攻击面包括webd和streamd两个开放端口。
如何利用该格式化字符串漏洞实现信息泄露?
通过覆盖栈中的指针,可以获取HTTP版本字符串,从而实现信息泄露。
在利用该漏洞时,最终目标是什么?
最终目标是通过覆盖__free_hook为system()的地址来获取远程Shell。
➡️
