IBM X-Force 发现智能跑步机的新漏洞

看到这个，我脑海里浮现的是贝肯熊在跑步机上那种要死要活的倒霉相。那么如果跑步机不受控制，我们是不是也会受到类似伤害呢？

智能健身器材在健身行业中发展迅速，用户可按照个性化的锻炼计划进行锻炼，在内置显示屏上播放娱乐节目，并方便地跟踪锻炼进度。鉴于这些联网设备拥有众多功能，IBM X-Force Red 的一组研究人员考虑了用户数据是否安全，更重要的是，是否存在对用户人身安全的风险。

Precor 是健身器材行业最知名的品牌之一，其全球拥有超过143,000 台配备互联网连接控制台的跑步机。这些跑步机是研究的重点。

通过发现暴露的 SSH 密钥对，研究人员获得了三个版本的控制台的 root 级访问权限，并证明跑步机皮带可以远程停止，这可能会对用户造成伤害。此外，使用弱哈希算法还泄露了 root 用户帐户的密码。根据这些发现，发布了四个 CVE：CVE-2023-49221、CVE-2023-49222、CVE-2023-49223 和 CVE-2023-49224。

方法

智能跑步机等设备通常连接到互联网以启动更新，并定期使用无线 (OTA) 文件。但是，当这些设备未连接到互联网时，它们仍然必须能够接收新软件。这通常使用 USB 更新来完成，设备所有者导航到公司的软件目录，下载适用的更新，然后使用 USB 驱动器手动启动它。

由于必须下载软件才能完成更新过程，因此软件必须存在于本地设备上，如果未受保护，则能够被分析。可能存在保护措施，例如购买证明或加密 ZIP 文件的密码。受密码保护的下载必须可供产品所有者访问，因此尽管它们被用作保护机制，但它们通常会列在可发现的用户手册中。下载软件后，可以使用常见的静态逆向分析工具（如字符串或binwalk）来识别硬编码的机密或浏览设备文件系统。

Precor 已采取了一些安全措施，但在利用已发布的用户手册后，研究人员得以下载该软件进行分析。

根账户密码

P80、P62 和 P82 Precor 触摸屏控制台基于 Android 操作系统，采用 Linux 风格的文件系统。通过下载每个型号的软件更新包，该团队无需接触配备每种控制台的跑步机，便可详细了解这些设备的功能。

初始枚举涉及收集用户帐户列表。对于任何 Linux 系统，用户帐户信息都存储在/etc / passwd文件中，该系统上的任何用户都可以读取该文件。通常，用户密码的哈希值存储在另一个文件/etc / shadow中，该文件只有 root 用户（具有最高访问权限的帐户）才能查看。

在这三个软件版本中， /etc/passwd中 root 帐户的条目还包含 root 用户密码的加密版本。虽然密码可以存储在/etc/passwd中，但出于两个原因，这不是推荐的方法。首先，passwd文件中出现的字符串使用 DES 加密算法进行散列，使用现代硬件可以在合理的时间内破解该算法。其次，此文件是全世界可读的，因此任何用户都可以获取此散列密码并尝试破解它。

图1：P82控制台上的/etc/passwd内容

每个控制台的根帐户的哈希密码相同，并且在不到 24 小时内就被破解，从而泄露了明文密码。虽然暴露密码始终存在风险，但控制台安装在跑步机或其他健身器材上时没有传统的 Linux 登录屏幕或命令行界面，因此团队无法找到使用它来登录帐户的方法。

暴露的 SSH 密钥

在记录了控制台上的用户帐户后，枚举继续进行，调查防火墙规则以确定是否存在远程连接的潜在途径。在 P80 控制台（所检查的最古老的控制台）上，三条规则允许感兴趣的传入连接：SSH，一种安全的远程连接程序；Precor 远程调试，这似乎是连接到控制台的专有方法；以及 ADB，即 Android 调试桥，可用于通过命令行访问 Android 设备。

图 2：P80 控制台上的防火墙规则

由于已经获得了用户名/密码对，因此 SSH 似乎是三者中最有希望的选择。但是，SSH 配置文件中的一行表明该协议使用公钥/私钥对而不是密码进行身份验证。该文件还表明允许的公钥存储在/etc/ssh/ssh_host_rsa_key 中。

图 3：显示密钥位置的 SSH 配置文件

SSH 使用 authorized_keys 文件来包含公钥列表，这些公钥与相关私钥一起使用户能够连接到系统。P62 和 P82 控制台软件不包含防火墙规则或 SSH 配置文件，但所有三个版本都有一个 authorized_keys 文件，其中包含与P80 上的/etc/ssh/ssh_host_rsa_key相同的公钥。

图4：P82控制台上的授权公钥

图5：P80控制台上的授权公钥

图6：P62控制台上的授权公钥

这是一个有趣的发现，因为这意味着 Precor 设计的软件允许任何拥有私钥的人以 root 身份连接到这些设备中的任何一个并远程控制它们。但是，没有相应私钥的人无法使用此功能，而且就其本身而言，不会带来重大风险。

公钥和私钥对通常一起存储在系统的 SSH 目录中。在 P80 上，此目录包含两个感兴趣的文件：ssh_host_rsa_key.pub，这是 SSH 配置文件指示的公钥，以及ssh_host_rsa_key。第二个文件是私钥，它允许通过 SSH 访问任何 P80、P62 和 P82 控制台。

图 7：在 P80 控制台上查找私有 SSH 密钥

有了这一发现，研究人员认为他们应该能够使用 SSH 连接到任何带有三种控制台类型之一的跑步机，这些控制台类型包含公钥。到目前为止，这种潜在攻击仅基于在下载的智能控制台软件更新中找到的文件，尚未在实体跑步机上得到证实。下一步是使用实际设备进行测试——带有 P62 控制台的 Precor 跑步机。攻击涉及两个步骤：

1. 确定设备的 IP。访问跑步机后，可以使用用户手册中的说明访问包含连接选项的管理面板来完成此操作。或者，可以通过网络扫描确定此地址。

2. 与跑步机在同一网络上，使用找到的 SSH 私钥连接到跑步机控制台的 IP 地址。

图 8：SSH 连接到 P62 控制台上的 root 帐户

一旦连接，攻击者就可以以 root 用户身份完全访问控制台的文件系统，并可以发出命令。虽然无法通过命令行直接控制诸如调整速度和倾斜度等功能，但可以向控制台发送重启命令。如果跑步机皮带处于活动状态，这将导致它在控制台关闭时迅速且不均匀地停止，这对在这些跑步机上锻炼的任何人都构成风险。

建议的安全预防措施

项目结束后，供应商收到了这些问题的通知。供应商的安全团队及时修复了漏洞，以确保受影响产品的安全。Precor 已为所有受影响的控制台版本发布了修补软件，以便它们不允许外部 SSH 访问以下版本的控制台：P82_8.3.2 和 P82_9.2.3_M、P62_8.3.2 和 P80_7.2.11。建议拥有带有 P82、P62 或 P80 控制台的 Precor 健身设备的任何人尽快更新到这些版本。

可以采取其他预防措施来保护智能健身器材的用户，包括确保这些设备位于单独的安全网络上，潜在攻击者无法加入，或者在未使用在线功能时完全断开它们与互联网的连接。

原文始发于微信公众号（河南等级保护测评）：IBM X-Force 发现智能跑步机的新漏洞