Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Macie kamerę Hikvision? Pokazał się exploit na podatność umożliwiającą zdalny dostęp do kamery (bez uwierzytelnienia).

28 października 2021, 14:34 | W biegu | komentarze 4

Bez zbytnich wstępów przejdźmy od razu do rzeczy:

1. Informacja o podatności pojawiła się już we wrześniu tego roku.

2. Niedawno pokazał się publiczny exploit (zwany dla zmyłki PoCem ;-)

3. Jakie ryzyko? Autor nie liczył scoru CVSS, tylko przedstawił takie fakty:

Impact:

Remotely Exploitable: Yes
Authentication Required: None
Zero click (no action needed from device owner): Yes

4. Na podstawie analizy działania PoC widać, że:

a) Błąd można wykorzystać poprzez przesłanie do urządzenia XMLa, w którym ustawiamy język interfejsu (np. strony logowania). Język, w którym będzie wyświetlana strona do logowania można ustawić bez logowania, prawda? :)

Najistotniejszy jest ten fragment:

<language>$(tu_leci_na_bezczela_fragment_polecenia_w_os_ktore_odpala_sie_jako_root)</language>

5. Pod koniec września producent wydał łatki („Security Notification – Command Injection Vulnerability in Some Hikvision products”)

Przy czym „some Hikvision product” to… dziesiątki różnych modeli.

6. Wg naszego szybkiego researchu, w Polsce udostępnionych do Internetu jest ~25 000 kamerek Hikvision (a na świecie ~900k):

7. Nota bene: do wykorzystania podatności potrzebny jest sieciowy dostęp do urządzenia (czy to z Internetu czy z LAN).

8. Łatajcie się.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Imie

    Język, w którym będzie wyświetlana strona do logowania można ustawić bez logowania, prawda? :)
    Czy to pytanie sugerujące i dlaczego nie można ? To jakiś nowy poziom bezpieczeństwa wynikły z głębokich przemyśleń i analiz, coś jak te wszystkie bzdurne punkty ASVS, typu sprawdź czy w haśle jest kendżi i emoji ?

    Odpowiedz
    • Umiejętność

      Przeczytaj jeszcze raz. I jeszcze raz. I jeszcze raz. W końcu zrozumiesz. Wiem że dasz radę.

      Odpowiedz
    • Krevan Espane ae Junginklaine

      ej chłopce w copce… ej chłopce…

      Mechanizm nie wymagający logowania, potrafiący zbyt wiele zdziałać z pewnością nie jest… a wiesz co? a przeszła mi już ochota by Ci cokolwiek tłumaczyć :)

      Panie Michale – bardzo dziękuję za tą istotną informację… a dziękuję w imieniu wszystkich kamer Hikvision’a, które lecę aktualizować :)

      Odpowiedz
  2. Imię *

    to nawet nie jest RCE tylko od razu RSH

    Odpowiedz

Odpowiedz