Камеры Dahua без исправлений уязвимы для неаутентифицированного удаленного доступа

19
Основатель Velodyne Lidar планирует назначить директоров в следующем году

Непропатченные камеры Dahua подвержены двум уязвимостям обхода аутентификации, и появившаяся сегодня доказательная концепция эксплойта подтверждает необходимость обновления.

Недостатки обхода аутентификации отслеживаются как CVE-2021-33044 и CVE-2021-33045 , и обе они могут использоваться удаленно во время процесса входа в систему путем отправки специально созданных пакетов данных на целевое устройство.

Для получения дополнительной информации о том, как это работает, вы можете ознакомиться с доказательством концепции (PoC), которое было частью сегодняшнего полного раскрытия информации, которое было опубликовано на GitHub .

Это произошло через месяц после того, как Dahua выпустила рекомендации по безопасности, которые призвали владельцев уязвимых моделей обновить свою прошивку, но, учитывая, насколько заброшены эти устройства после их первоначальной установки и настройки, вполне вероятно, что многие из них все еще используют старую и уязвимую версию.

Список затронутых моделей обширен и охватывает многие камеры Dahua, даже некоторые тепловизионные. Мы провели поиск на Shodan и нашли более 1,2 миллиона систем Dahua по всему миру.

Важно уточнить, что не все эти устройства уязвимы для эксплуатации, но в списке затронутых моделей есть некоторые широко распространенные.  

Запрещенная головная боль безопасности 

Dahua Technology запрещено вести бизнес и продавать продукты в Соединенных Штатах, поскольку китайский поставщик камер наблюдения был добавлен в список организаций Министерства торговли США еще в октябре 2019 года

Однако в стране до сих пор активно используются десятки тысяч фотоаппаратов Dahua, и некоторые из них могут быть не такими очевидными. Согласно недавнему отчету The Intercept, многие камеры, продаваемые в США под американским (например, Honeywell) или канадским брендом, на самом деле используют оборудование и даже программное обеспечение Dahua. 

Как защитить свое устройство 

Помимо обновления вашей камеры Dahua до последней доступной версии прошивки для вашей модели, вы также должны изменить пароль, с которым она поставляется, из коробки, на что-то уникальное и надежное. Оставив учетные данные для корневого доступа «admin» — «admin» — верный способ рано или поздно открыть доступ к вашим видео-каналам. 

Кроме того, включите шифрование WPA2, если камера является беспроводной, и, если возможно, настройте отдельную изолированную сеть для своих IoT. 

Обратите внимание, что если ваша модель поддерживает облако, вы можете автоматически загрузить исправление из интерфейса управления, вместо посещения центра загрузок Dahua

Обнаружение двух недостатков произошло 13 июня 2021 года, поэтому некоторые камеры Dahua оставались уязвимыми для доступа без аутентификации в течение как минимум 2,5 месяцев даже для владельцев, которые применили обновление прошивки, как только оно вышло.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here