Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Macie kamerę Hikvision? Pokazał się exploit na podatność umożliwiającą zdalny dostęp do kamery (bez uwierzytelnienia).
Bez zbytnich wstępów przejdźmy od razu do rzeczy:
1. Informacja o podatności pojawiła się już we wrześniu tego roku.
2. Niedawno pokazał się publiczny exploit (zwany dla zmyłki PoCem ;-)
3. Jakie ryzyko? Autor nie liczył scoru CVSS, tylko przedstawił takie fakty:
Impact:
Remotely Exploitable: Yes
Authentication Required: None
Zero click (no action needed from device owner): Yes
4. Na podstawie analizy działania PoC widać, że:
a) Błąd można wykorzystać poprzez przesłanie do urządzenia XMLa, w którym ustawiamy język interfejsu (np. strony logowania). Język, w którym będzie wyświetlana strona do logowania można ustawić bez logowania, prawda? :)
Najistotniejszy jest ten fragment:
<language>$(tu_leci_na_bezczela_fragment_polecenia_w_os_ktore_odpala_sie_jako_root)</language>
5. Pod koniec września producent wydał łatki („Security Notification – Command Injection Vulnerability in Some Hikvision products”)
Przy czym „some Hikvision product” to… dziesiątki różnych modeli.
6. Wg naszego szybkiego researchu, w Polsce udostępnionych do Internetu jest ~25 000 kamerek Hikvision (a na świecie ~900k):
7. Nota bene: do wykorzystania podatności potrzebny jest sieciowy dostęp do urządzenia (czy to z Internetu czy z LAN).
8. Łatajcie się.
–Michał Sajdak
Język, w którym będzie wyświetlana strona do logowania można ustawić bez logowania, prawda? :)
Czy to pytanie sugerujące i dlaczego nie można ? To jakiś nowy poziom bezpieczeństwa wynikły z głębokich przemyśleń i analiz, coś jak te wszystkie bzdurne punkty ASVS, typu sprawdź czy w haśle jest kendżi i emoji ?
Przeczytaj jeszcze raz. I jeszcze raz. I jeszcze raz. W końcu zrozumiesz. Wiem że dasz radę.
ej chłopce w copce… ej chłopce…
Mechanizm nie wymagający logowania, potrafiący zbyt wiele zdziałać z pewnością nie jest… a wiesz co? a przeszła mi już ochota by Ci cokolwiek tłumaczyć :)
Panie Michale – bardzo dziękuję za tą istotną informację… a dziękuję w imieniu wszystkich kamer Hikvision’a, które lecę aktualizować :)
to nawet nie jest RCE tylko od razu RSH