Hikvision tem o “nível mais alto de vulnerabilidade crítica”, impactando mais de 100 milhões de dispositivos
Hikvision admitiu uma vulnerabilidade 9.8 que é “o nível mais alto de vulnerabilidade crítica — uma execução remota de código não autenticado com zero clique” de acordo com o pesquisador Watchful_IP, que descobriu isso . A IPVM estima que afeta mais de 100 milhões de dispositivos.
Embora Watchful_IP tenha avaliado que “definitivamente NÃO” é uma “porta dos fundos determinada pelo governo chinês”, o Hikvision criado e controlado pelo governo da RPC representa um grande risco para usuários em todo o mundo, pois seu apoio governamental o levou a se tornar o fabricante de videovigilância mais usado globalmente.
As preocupações com a segurança cibernética são um problema de longa data para a Hikvision, por exemplo, foi o governo dos EUA proibido federalmente pelo NDAA de 2019 e o governo dos EUA está planejando banir as autorizações da FCC para o Hikvision , portanto, essa admissão chega em um momento crítico para a empresa.
Como funciona
O pesquisador o descreve como simples de explorar:
Apenas o acesso à porta do servidor http (s) (normalmente 80/443) é necessário. Nenhum nome de usuário ou senha são necessários, nem qualquer ação precisa ser iniciada pelo proprietário da câmera. Não será detectado por nenhum registro na própria câmera.
Nem Hikvision nem o pesquisador estão liberando uma Prova de Conceito completa, mas Hikvision a descreve como o resultado do “envio de uma mensagem especialmente elaborada”.
Um CVE foi reservado ( CVE-2021-36260 ), mas nenhuma informação ainda não foi publicada lá:
O governo da RPC tem informações de vulnerabilidade por semanas
O governo da RPC tem essas informações de vulnerabilidade, já que todas as empresas da RPC são obrigadas pela lei da RPC a fornecer vulnerabilidades ao governo desde 1º de setembro (CORREÇÃO: este post inicialmente dizia que o governo tinha as informações por “meses”, no entanto, a lei da RPC entrou em vigor efeito 1 de setembro de 2021):
As informações de vulnerabilidade relevantes devem ser relatadas à plataforma de compartilhamento de informações de vulnerabilidade e ameaças de segurança cibernética do Ministério da Indústria e Tecnologia da Informação dentro de 2 dias
Watchful_IP diz que Hikvision confirmou a reprodução da vulnerabilidade em 23 de junho de 2021, então, mesmo assumindo que o governo da RPC não tinha isso por anos, o governo da RPC o tem há pelo menos semanas.
Esta é uma maneira poderosa para os adversários, incluindo o governo da RPC, acessarem redes em todo o mundo que seriam indetectáveis pelo próprio registro do dispositivo Hikvision.
Atualização que o Bashis encontrou e reproduziu por conta própria
Bashis descobriu a vulnerabilidade por conta própria e a reproduziu. Bashis é o pesquisador de segurança cibernética que descobriu inúmeras vulnerabilidades de Dahua e outras vulnerabilidades de fabricantes de vigilância por vídeo. O fato de que ele foi capaz de descobrir isso tão rapidamente indica que outros especialistas, incluindo governos e hackers de chapéu preto, provavelmente serão capazes de fazê-lo também. Bashis não está divulgando os detalhes.
Acesso root para atacar dispositivos internos ou DDoS
Esta vulnerabilidade fornece controle total do ‘computador’ subjacente nestes dispositivos com acesso shell root irrestrito, por Watchful_IP :
Isso permite que um invasor obtenha controle total do dispositivo com um shell de root irrestrito, que é muito mais acesso do que até mesmo o proprietário do dispositivo tem, pois eles são restritos a um “shell protegido” limitado (psh) que filtra a entrada para um conjunto predefinido de comandos limitados, principalmente informativos.
Isso significa, como destacou o pesquisador, que a vulnerabilidade pode ser usada para “acessar e atacar” redes internas, bem como lançar ataques de negação de serviço pela Internet.
Vasta gama de modelos afetados
A vulnerabilidade afeta uma vasta gama de dispositivos Hikvision, centenas de modelos, principalmente câmeras, com Hikvision listando mais de 80 agrupamentos . O número total de modelos, porém, é ainda maior. Por exemplo, três dos agrupamentos são do amplamente utilizado DS-2CVxxx1, DS-2CVxxx5, DS-2CVxxx6, (screencap anexado) que cobre centenas de modelos sozinho. Além disso, Hiwatch geralmente é afetado (por exemplo, HWI-xxxx), bem como muitos, muitos outros. Revise a lista de modelos afetados .
Firmware para corrigir disponível
Para modelos que a Hikvision confirmou que foram afetados, um novo firmware para consertar a vulnerabilidade está disponível .
OEMs afetados
Como a Hikvision tem OEMs tão amplamente (consulte o Diretório de OEM da Hikvision ), isso afetará dezenas ou talvez centenas de marcas em todo o mundo.
Pior ainda, os parceiros OEM da Hikvision freqüentemente tentam esconder seu relacionamento com a Hikvision, de forma que muitos OEMs não reconhecerão isso e muitos compradores nunca perceberão.
Mais de 100 milhões de dispositivos
Estimamos que mais de 100 milhões de dispositivos em todo o mundo são afetados por esta vulnerabilidade, tornando-a, de longe, a maior vulnerabilidade já atingida por videovigilância. A combinação de sua natureza crítica (9.8 / “execução remota de código não autenticado com zero-clique”) e o enorme tamanho do mercado da Hikvision tornam esse risco sem precedentes.
Para o fundo, em 2016, a Hikvision disse que fabricou “mais de 55 milhões de câmeras” e a produção anual cresceu substancialmente desde então. A Hikvision, portanto, despachou algumas centenas de milhões de câmeras e dezenas de milhões de gravadores durante o período de tempo coberto pela vulnerabilidade.
Comparação da porta traseira do Hikvision 2017
Esta é a pior vulnerabilidade do Hikvision desde que o backdoor do Hikvision foi descoberto em 2017, onde o Hikvision incluía uma string mágica (aparentemente secreta) que permitia que qualquer pessoa com essa string realizasse operações administrativas, sem ter as credenciais de administrador do dispositivo.
Comparação Dahua 2021
Apenas algumas semanas atrás, Dahua divulgou suas próprias novas vulnerabilidades críticas . No entanto, a vulnerabilidade do Hikvision é pior, já que os novos Dahua ‘apenas’ permitem acesso de administrador com Hikvision fornecem acesso root completo.
Hikvision CSO “Debunks”
Apenas três dias antes de Hikvision admitir essa vulnerabilidade crítica, o EMEA CSO da Hikvision postou uma postagem no blog sobre por que vulnerabilidades não são o mesmo que backdoors:
Encaminhamento de porta ainda recomendado
As “Melhores Práticas” de segurança cibernética da Hikvision continuam a recomendar o uso de encaminhamento de porta, o que coloca esses dispositivos em maior risco de serem hackeados.
Esta “melhor prática” foi escrita depois que o backdoor do Hikvision 2017 foi descoberto e amplamente explorado e ainda é a principal “prática” no site da Hikvision hoje.
Nele, enquanto o Hikvision avisa sobre os riscos do encaminhamento de porta, eles dizem aos usuários que se eles desejam acesso remoto ‘rápido e estável’ a seus dispositivos Hikvision (e a maioria o faz), eles “podem ter que escolher” o encaminhamento de porta :
Se as soluções P2P ou VPN não atenderem às necessidades dos usuários, que desejam ter um acesso rápido e estável ao serviço de porta especificado do dispositivo através da Internet, os usuários podem ter que escolher o esquema tradicional de ‘encaminhamento de porta’.
IPVM há muito avisou sobre as táticas de Hikvision aqui, por exemplo, Hikvision Hardening Guide Recomenda Port Forwarding e P2P ‘Fail To’ ‘Quick And Steady Access’ – Hikvision Defends Port Forwarding .
Não exponha, diz Watchful_IP
Watchful_IP, ao contrário do Hikvision e em linha com os profissionais de segurança cibernética reais, recomenda não transferir para a frente, dizendo:
Eu recomendo que você não exponha nenhum dispositivo IoT à Internet, não importa quem seja feito por
Infelizmente, muitos usuários do Hikvision o fazem porque o Hikvision continua recomendando fazê-lo para “acesso rápido e estável” aos seus dispositivos.
Risco FCC
Isso prejudicará a Hikvision e as petições de seus mais de 90 parceiros ao governo dos EUA, que afirmam que o Hikvision não é uma ameaça à segurança. Além da ameaça de ser uma entidade controlada pelo governo da RPC, esta nova vulnerabilidade massiva levantará novas preocupações sobre a (falta de) segurança do Hikvision.
Risco GDPR
O EMEA CSO da Hikvision, na postagem do blog da semana passada , argumentou que os usuários finais, e não os fabricantes, são responsáveis pelo GDPR:
os usuários finais que compram essas câmeras são responsáveis pelos dados / imagens de vídeo que geram. Em outras palavras, eles são os guardiães dos dados que processam os dados e controlam as imagens de vídeo, que devem ser mantidas em sigilo por lei (de acordo com o GDPR). O acesso secreto a imagens de vídeo nesses dispositivos é impossível sem o consentimento do usuário final.
A linha final é simplesmente falsa de fato porque, como revela a vulnerabilidade mais recente de Hikvision, o acesso secreto aos dispositivos Hikvision é bem possível, seja por intenção ou falha de P&D de Hikvision, agravado pelo uso contínuo recomendado de encaminhamento de porta por Hikvision.
Falha para Hikvision
Esta vulnerabilidade crítica, descoberta por um pesquisador independente, é um fracasso para Hikvision. A enorme empresa que informa uma receita anual de quase US $ 10 bilhões e alega que 20.000 engenheiros de P&D enfrentou um escrutínio incrível por anos sobre sua segurança cibernética e escolheu permitir ou não encontrar esta vulnerabilidade que um único pesquisador encontrou.
Dado que Hikvision enterrou essa divulgação durante um fim de semana, Hikvision provavelmente espera que o público ignore isso. Ainda não se sabe como isso afeta o escrutínio global da empresa.
Fonte: https://ipvm.com/