ONVIF ranjivost u Dahua IP kamerama

Otkrivena je ranjivost u Dahua IP kamerama, konkretno u ONVIF (Open Network Video Interface Forum) standardu, koja omogućava preuzimanje kontrole nad uređajima.

 

Image by Photo Mix from Pixabay

Označena kao CVE-2022-30563 (sa CVSS ocjenom: 7.4), omogućava napadačima da zloupotrebe mrežne kamere preko prethodno ne šifrirane ONVIF komunikacije i ponovo reprodukuju korisničke podatke za prijavu prema uređaju, prema izvještaju sigurnosne kompanije Nozomi Networks.

 

Kompanija Dahua je objavila da ima spremna sigurnosna ažuriranja od 28. juna 2022. godine, koja se odnose  na sljedeće proizvode:

 

- Dahua ASI7XXX: na sve verzije prije v1.000.0000009.0.R.220620

- Dahua IPC-HDBW2XXX: na sve verzije prije v2.820.0000000.48.R.220614

- Dahua IPC-HX2XXX: na sve verzije prije v2.820.0000000.48.R.220614

 

Ranjivost koja je identifikovana od strane  sigurnosne kompanije Nozomi Networks se odnosi na mehanizam za prijavljivanje pod nazivom “WS-UsernameToken” implementiranom u određenom broju IP kamera proizvođača Dahua. Ranjivost omogućava napadaču da doda novi administratorski nalog, omogućavajući mu najveći stepen pristupa uređaju, što uključuje i gledanje prenosa sa kamere uživo. Napadaču je samo potrebno da “uhvati” ne šifrovani mrežni zahtev autentifikovan pomoću šeme WS-UsernameToken-a, koji poslije izmijenjen šalje uređaju kako bi ga prevario i dobio mogućnost da napravi administratorski nalog.

 

Otkrivanje ove ranjivosti u Dahua IP kamerama je posljedica otkrivenih sličnih ranjivosti u uređajima proizvođača Reolink, ThroughTek, Annke i Axis, što upozorava na potencijalnu opasnost, s obzirom da se ovi uređaju postavljaju na sigurnosno kritičnim mjestima.

 

Kompanija Dahua savjetuje svojim korisnicima, u skladu sa najboljim praksama u sajber bezbjednosti, izvrše preuzimanje i primjene potrebna ažuriranja sa njihove stranice za podršku ili da kontaktiraju lokalnu Dahua  podršku.

Ranjivosti u Dahua video nadzornim uređajima

Samo mjesec dana nakon što je kompanija Dahua objavila upozorenje u kojem savjetuje korisnike da izvrše nadogradnju firmware-a na navedenim modelima, na GitHub-u se pojavio proof of concept (PoC). Dahua uređaji koje nisu ažuriran su podložni zaobilasku procesa autentifikacije, a ranjivosti su identifikovane kao CVE-2021-33044 i CVE-2021-33045 i obije omogućavaju daljinsko iskorištavanje procesa prijave na uređaj slanjem posebno pripremljenih paketa na ciljani uređaj.

 

Objava  na GitHub-u je povećala važnost procesa ažuriranja, jer je vrlo vjerovatno da se praksa  nemarnog procesa instalacije i konfiguracije ovih uređaja odnosi i na proces nadogradnje, pa je broj nezaštićenih na uređaja velik. Prilikom pretrage na servisu Shodan se može pronaći  preko 1,2 miliona uređaja dostupnih globalno na Internetu. 

Globalno dostupni Dahua uređaji. Izvor: Shodan.

Važno je napomenuti da svi prikazani uređaji nisu pogođeni navedenim sigurnosnim propustima, ali uređaji koji se nalaze na listi pogođenih ovim ranjivostima su široko rasprostranjeni, pa je sada stvarno pitanje koliko ih je stvarno ažurirano. 

Dostupni Dahua uređaji u BiH. Izvor: Shodan.

Zaštita. Pored nadogradnje uređaja na zadnje dostupno ažuriranje, potrebno je izvršiti promjenu lozinki koristeći dobru praksu jakih i kompleksnih lozinki, pogotovo ako su podaci za prijavu na uređaj “admin” – “admin”.  Preporučeno je da se uradi izolaciju mreže na kojoj su spojeni uređaji, ako je moguće. Kada je riječ o bežičnim kamerama, obavezno koristiti WPA2 enkripciju. Za modele koji su povezani sa oblakom (cloud-enabled), moguće je automatski izvršiti ažuriranje iz kontrolnog interfejsa.

Dostupni Dahua uređaji u BiH – top 10 gradova. Izvor: Shodan.