Ranjivosti u Dahua video nadzornim uređajima

Samo mjesec dana nakon što je kompanija Dahua objavila upozorenje u kojem savjetuje korisnike da izvrše nadogradnju firmware-a na navedenim modelima, na GitHub-u se pojavio proof of concept (PoC). Dahua uređaji koje nisu ažuriran su podložni zaobilasku procesa autentifikacije, a ranjivosti su identifikovane kao CVE-2021-33044 i CVE-2021-33045 i obije omogućavaju daljinsko iskorištavanje procesa prijave na uređaj slanjem posebno pripremljenih paketa na ciljani uređaj.

 

Objava  na GitHub-u je povećala važnost procesa ažuriranja, jer je vrlo vjerovatno da se praksa  nemarnog procesa instalacije i konfiguracije ovih uređaja odnosi i na proces nadogradnje, pa je broj nezaštićenih na uređaja velik. Prilikom pretrage na servisu Shodan se može pronaći  preko 1,2 miliona uređaja dostupnih globalno na Internetu. 

Globalno dostupni Dahua uređaji. Izvor: Shodan.

Važno je napomenuti da svi prikazani uređaji nisu pogođeni navedenim sigurnosnim propustima, ali uređaji koji se nalaze na listi pogođenih ovim ranjivostima su široko rasprostranjeni, pa je sada stvarno pitanje koliko ih je stvarno ažurirano. 

Dostupni Dahua uređaji u BiH. Izvor: Shodan.

Zaštita. Pored nadogradnje uređaja na zadnje dostupno ažuriranje, potrebno je izvršiti promjenu lozinki koristeći dobru praksu jakih i kompleksnih lozinki, pogotovo ako su podaci za prijavu na uređaj “admin” – “admin”.  Preporučeno je da se uradi izolaciju mreže na kojoj su spojeni uređaji, ako je moguće. Kada je riječ o bežičnim kamerama, obavezno koristiti WPA2 enkripciju. Za modele koji su povezani sa oblakom (cloud-enabled), moguće je automatski izvršiti ažuriranje iz kontrolnog interfejsa.

Dostupni Dahua uređaji u BiH – top 10 gradova. Izvor: Shodan.