Macie kamerę Hikvision? Pokazał się exploit na podatność umożliwiającą zdalny dostęp do kamery (bez uwierzytelnienia).

Bez zbytnich wstępów przejdźmy od razu do rzeczy:

1. Informacja o podatności pojawiła się już we wrześniu tego roku.

2. Niedawno pokazał się publiczny exploit (zwany dla zmyłki PoCem ;-)

3. Jakie ryzyko? Autor nie liczył scoru CVSS, tylko przedstawił takie fakty:

Impact:

Remotely Exploitable: Yes
Authentication Required: None
Zero click (no action needed from device owner): Yes

4. Na podstawie analizy działania PoC widać, że:

a) Błąd można wykorzystać poprzez przesłanie do urządzenia XMLa, w którym ustawiamy język interfejsu (np. strony logowania). Język, w którym będzie wyświetlana strona do logowania można ustawić bez logowania, prawda? :)

Najistotniejszy jest ten fragment:

<language>$(tu_leci_na_bezczela_fragment_polecenia_w_os_ktore_odpala_sie_jako_root)</language>

5. Pod koniec września producent wydał łatki („Security Notification – Command Injection Vulnerability in Some Hikvision products”)

Przy czym „some Hikvision product” to… dziesiątki różnych modeli.

6. Wg naszego szybkiego researchu, w Polsce udostępnionych do Internetu jest ~25 000 kamerek Hikvision (a na świecie ~900k):

7. Nota bene: do wykorzystania podatności potrzebny jest sieciowy dostęp do urządzenia (czy to z Internetu czy z LAN).

8. Łatajcie się.

–Michał Sajdak