从Twonky Server漏洞看企业老旧DLNA服务的安全风险与排查清单最近在帮某金融客户做内网渗透测试时发现他们办公区的智能电视居然通过一个2014年版本的Twonky Server提供媒体共享服务。更令人惊讶的是这个服务居然存在目录遍历漏洞可以直接访问服务器上的敏感文件。这让我意识到很多企业内网中这类老古董服务可能正在默默埋下安全隐患。DLNA数字生活网络联盟服务在企业环境中非常普遍从会议室投影仪到员工休息区的智能电视几乎无处不在。但安全团队往往更关注核心业务系统对这些边缘服务的安全状况知之甚少。今天我们就以Twonky Server为例聊聊如何系统性地排查和加固这类服务。1. 为什么老旧DLNA服务会成为安全盲区上周参加一个行业交流会几位同行都提到类似情况某制造企业的设计图纸通过DLNA服务泄露某酒店客户数据库因为媒体服务器漏洞被窃取。这些案例有个共同点——涉事服务都已运行多年且从未更新。造成这种状况通常有三个原因部署隐蔽性这些服务常由非IT部门部署如市场部为演示需要安装的媒体服务器安全团队根本不知情更新惰性DLNA服务一旦配置完成就能一直工作很少有人会主动更新认知偏差很多人认为媒体服务不处理敏感数据不值得投入安全资源典型风险场景会议室智能设备自动连接的媒体服务器员工个人搭建的共享服务供应商预装在硬件设备中的服务组件2. Twonky Server漏洞深度分析以CVE-2018-7171为例这个目录遍历漏洞允许攻击者通过精心构造的URL访问系统任意文件。虽然漏洞本身不复杂但结合企业环境特点可能造成远超预期的危害。2.1 漏洞利用链还原GET /.%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1 Host: vulnerable-server:9000这个PoC展示了如何利用路径遍历读取系统文件。但在实际企业环境中攻击者往往会分三步走信息收集通过扫描发现Twonky服务默认端口9000版本识别检查/description.xml获取服务版本漏洞利用尝试已知漏洞利用方式2.2 企业环境中的放大效应在企业内网中这类漏洞的危害会被显著放大风险维度普通环境企业环境数据泄露媒体文件可能包含合同、设计图等商业机密横向移动单点风险可能成为跳板攻击其他系统持久化临时影响长期未被发现的后门去年某次红队演练中我们就通过一个老旧DLNA服务拿到了域管理员权限——因为管理员把配置文件存在了媒体库共享目录。3. 企业内网DLNA服务发现与评估发现这些隐藏服务需要系统性的方法。以下是我们在多个项目中总结的有效方案3.1 自动化扫描方案使用改良版的nmap扫描脚本nmap -p 9000,49152-49251 --script dlna-service-info 10.0.0.0/24关键参数说明-p 9000Twonky默认端口49152-49251DLNA常用端口范围dlna-service-info识别服务类型的NSE脚本3.2 手动验证步骤当自动化工具受限时可以检查网络设备连接列表寻找不明媒体设备在会议室等公共区域检查智能设备连接设置抽查员工电脑的网络共享配置发现服务后的快速评估表评估项检查方法风险等级服务版本访问/description.xml旧版本高危认证配置尝试未授权访问无认证高危共享范围检查配置文件全公司共享高危存储位置查看媒体库路径系统目录高危4. 老旧DLNA服务加固方案发现漏洞只是开始真正的挑战是如何在不影响业务的情况下消除风险。我们推荐分阶段处理4.1 紧急缓解措施对于不能立即下线的关键服务网络隔离通过ACL限制访问IPaccess-list 100 deny tcp any any eq 9000 access-list 100 permit tcp 10.1.1.0/24 any eq 9000目录限制修改服务配置将根目录锁定到安全位置日志监控对异常访问模式设置告警4.2 长期治理方案建立DLNA服务管理制度资产登记所有媒体服务必须备案更新策略纳入常规补丁管理流程权限最小化按部门划分共享范围配置示例Twonky ServerConfig Share Path/srv/media/Path AllowDeletefalse/AllowDelete /Share Security AllowRemotefalse/AllowRemote /Security /Config5. 企业DLNA服务安全自查清单最后分享我们内部使用的检查表建议每季度执行一次基础检查项[ ] 确认所有DLNA服务都已登记备案[ ] 验证服务版本是否为最新[ ] 检查匿名访问是否禁用高级检查项[ ] 审计媒体库文件权限不应超过744[ ] 测试目录遍历等常见漏洞[ ] 验证网络隔离有效性管理流程检查[ ] 明确服务责任人[ ] 建立更新维护流程[ ] 制定应急响应预案在一次给零售客户做安全评估时这套检查表帮他们发现了市场部用于数字标牌的媒体服务器正在泄露未发布的促销方案。现在他们不仅修复了漏洞还建立了媒体服务审批流程。
