Dahua informa de una nueva variante del código malicioso que afecta a varios de sus modelos. Recomiendaseguir los consejos que ya publicamos en el post Claves para mantener nuestra seguridad
Nuestros clientes de SAGTELECO no han sido afectados . Se han revisado modelos y firmware de los equipos que instalados de este fabricante.
Esta variante provoca que el grabador registre las imágenes de las cámaras en negro. El grabador continúa funcionando y las cuentas no quedan bloqueadas.
Si usted comprueba o sospecha de algún error en su sistema de video vigilancia no dude en contactar con nosotros para solucionar este problema.
PRODUCTOS AFECTADOS
Las siguientes cámaras de red Dahua Technology Co., Ltd (Dahua) están afectadas:
- DH-IPC-HDBW23A0RN-ZS,
- DH-IPC-HDBW13A0SN,
- DH-IPC-HDW1XXX,
- DH-IPC-HDW2XXX,
- DH-IPC-HDW4XXX,
- DH-IPC-HFW1XXX,
- DH-IPC-HFW2XXX,
- DH-IPC-HFW4XXX,
- DH-SD6CXX,
- DH-NVR1XXX,
- DH-HCVR4XXX, y
- DH-HCVR5XXX.
Los siguientes grabadores de vídeo digital (DVR) de Dahua están afectados:
- DHI-HCVR51A04HE-S3,
- DHI – HCVR51A08HE – S3, y
- DHI – HCVR58A32S – S2.
INFORMACION DE LA AGENCIA GUBERNAMENTAL DE ESTADOS UNIDOS
CVSS v3 9.8
ATENCIÓN: Explotación remota / bajo nivel de habilidad para explotar. Las hazañas públicas están disponibles.
Proveedor: Dahua Technology Co., Ltd
Equipos: Grabadoras de Vídeo Digital y Cámaras IP
Vulnerabilidades: Uso de Hash de Contraseña en lugar de Contraseña para Autenticación, Contraseña en Archivo de Configuración
IMPACTO
La explotación exitosa de estas vulnerabilidades podría permitir al atacante obtener credenciales de usuario, incluidos los hashes de contraseñas, y utilizar estas credenciales para omitir la autenticación.
MITIGACIÓN
Dahua ha lanzado firmware actualizado para mitigar estas vulnerabilidades.
El software actualizado puede obtenerse del soporte técnico de Dahua o de un distribuidor autorizado de Dahua.
Además, Dahua lanzó las siguientes notificaciones de seguridad para los usuarios:
- Vulnerabilidad Cibernética que afecta a ciertas cámaras y grabadores IP de Dahua (6 de marzo)(enlace externo)
- Declaración de seguridad cibernética – 6 de marzo de 2017(enlace externo)
- Actualización de la vulnerabilidad de la seguridad cibernética – 8 de marzo de 2017(enlace externo)
- Vulnerabilidad cibernética que afecta a ciertas cámaras y grabadores IP de Dahua (3 de abril)(enlace externo)
La notificación original de Dahua especifica 11 modelos afectados, pero después de las pruebas iniciales, Dahua ha identificado series y modelos adicionales en la siguiente notificación de seguridad:
NCCIC / ICS-CERT recomienda que los usuarios tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades. Específicamente, los usuarios deben:
- Cambiar las contraseñas predeterminadas inmediatamente.
- Minimice la exposición de la red para todos los dispositivos y / o sistemas del sistema de control y asegúrese de que no son accesibles desde Internet.
- Busque las redes del sistema de control y los dispositivos remotos detrás de los firewalls, y aislarlos de la red empresarial.
- Cuando se requiera acceso remoto, use métodos seguros, tales como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que la VPN es tan segura como los dispositivos conectados.
ICS-CERT recuerda a las organizaciones que deben llevar a cabo análisis de impacto y evaluación de riesgos apropiados antes de implementar medidas defensivas.
ICS-CERT también proporciona una sección para las prácticas recomendadas de seguridad de sistemas de control en la página web de ICS-CERT. Varias prácticas recomendadas están disponibles para lectura y descarga, incluyendo la Mejora de la Seguridad Cibernética de Sistemas de Control Industrial con Estrategias de Defensa en Profundidad.
El documento de información técnica ICS-CERT, ICS-TIP-12-146-01B – Estrategias de Detección y Mitigación de Invasiones Cibernéticas Cibernéticas , está disponible para su descarga desde el sitio web de ICS-CERT .
Las organizaciones que observen cualquier actividad maliciosa sospechosa deben seguir sus procedimientos internos establecidos e informar de sus hallazgos al ICS-CERT para el seguimiento y la correlación con otros incidentes.
VISIÓN GENERAL DE LA VULNERABILIDAD
Se identificó el uso de hash de contraseña en lugar de contraseña para la vulnerabilidad de autenticación, lo que podría permitir a un usuario malintencionado pasar por alto la autenticación sin obtener la contraseña real.
CVE-2017-7927 se ha asignado a esta vulnerabilidad. Se ha asignado una puntuación básica CVSS v3 de 7.3; La cadena vectorial CVSS es ( AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: L / A: L ).
Se identificó la contraseña en la vulnerabilidad del archivo de configuración, lo que podría llevar a que un usuario malintencionado asumiera la identidad de un usuario privilegiado y obtendría acceso a información confidencial.
CVE-2017-7925 se ha asignado a esta vulnerabilidad. Se ha asignado una calificación base CVSS v3 de 9.8; La cadena vectorial CVSS es ( AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H ).
INVESTIGADOR
El investigador Bashis reveló estas vulnerabilidades sin coordinación con ICS-CERT.
Pingback: CCTV- Vulnerabilidad Dahua. Oleada de ataques | Sagteleco