Detaljer er blevet delt om en sikkerhedssårbarhed i Dahuas Open Network Video Interface Forum (ONVIF) standardimplementering, som, når den udnyttes, kan føre til at gribe kontrol over IP-kameraer. Selvom Dahua og HIKVISION er udelukket fra Onvif, er den alligevel blevet delt da den inkluderer det tidligere samarbejde med de kinesiske producenter.
Sporet som CVE-2022-30563 (CVSS-score: 7.4), “sårbarheden kunne misbruges af angribere til at kompromittere netværkskameraer ved at snuse til en tidligere ukrypteret ONVIF-interaktion og afspille legitimationsoplysningerne i en ny anmodning mod kameraet,” sagde Nozomi Networks i en torsdagsrapport. Problemet, der blev løst i en programrettelse, der blev udgivet den 28. juni 2022, påvirker følgende produkter:
- Dahua ASI7XXX: Versioner før v1.000.0000009.0.R.220620
- Dahua IPC-HDBW2XXX: Versioner før v2.820.0000000.48.R.220614
- Dahua IPC-HX2XXX: Versioner før v2.820.0000000.48.R.220614
ONVIF er en verdens autoritet der styrer udviklingen og brugen af den åbne standard for, hvordan IP-baserede fysiske sikkerhedsprodukter såsom videoovervågningskameraer og adgangskontrolsystemer kan kommunikere med hinanden på en leverandøragnostisk måde, men det pointeres at HikVision og Dahua samt mange andre kinesiske producenter er udelukket fra alt internationalt samarbejde og er blevet forbud i en række lande sammen med andre kinesiske produkter.
Fejlen identificeret af Nozomi Networks ligger i det, der kaldes “WS-UsernameToken” godkendelsesmekanisme implementeret i visse IP-kameraer udviklet af det kinesiske firma Dahua, så angribere kan kompromittere kameraerne ved at afspille legitimationsoplysningerne igen.
Med andre ord kan en vellykket udnyttelse af fejlen gøre det muligt for en modstander i det skjulte at tilføje en ondsindet administratorkonto og udnytte den til at få ubegrænset adgang til en berørt enhed med de højeste privilegier, herunder at se live kamerafeeds.
Alt, hvad en trusselsaktør har brug for for at montere dette angreb, er at være i stand til at fange en ukrypteret ONVIF-anmodning, der er godkendt med WS-UsernameToken-skemaet, som derefter bruges til at sende en forfalsket anmodning med de samme godkendelsesdata for at narre enheden til at oprette admin-kontoen.
Denne afsløring følger opdagelsen af lignende fejl i bl.a. REOLINK, THROGHTEK ANNKE og tidligere tidlige AXIS. Disse er dog blevet ordnet. Men hvilket understreger de potentielle risici, som IoT-sikkerhedskamerasystemer udgør i betragtning af deres implementering i kritiske infrastruktur-faciliteter. Siden udnyttelserne ligger via rusland, kina og nordkorea, er tendensen at de bliver brugt til industrispionage, aflytning og til at komme videre ind i virksomhedens netværk, eller finde personlige oplysninger om medarbejdere der tilbydes en del af kagen.
“Trusselsaktører, især nationalstatslige trusselsgrupper, kunne være interesseret i at hacke IP-kameraer for at hjælpe med at indsamle informationer (INDUSTRI-SPIONAGE) om udstyr eller produktionsprocesser i målvirksomheden,” og
Det siger Nozomi Networks der er en Cybersecurity udbyder.
“Disse oplysninger kan hjælpe med rekognoscering udført inden lanceringen af et cyberangreb. Med mere viden om målmiljøet kan trusselsaktører udforme brugerdefinerede angreb, der fysisk kan forstyrre produktionsprocesser i kritisk infrastruktur.”
I en relateret udvikling, siger forskere fra NCC Group at de har fundet 11 sårbarheder, der påvirker Nuki smart lock-produkter, der kunne klargøres for at få vilkårlig kodeudførelse og åbne døre eller forårsage en denial-of-service (DoS) tilstand.
Også bemærkelsesværdigt er et industrielt kontrolsystem (ICS) rådgivende udstedt af US Cybersecurity and Infrastructure Security Agency i denne uge, advarsel om to alvorlige sikkerhedsfejl i MOXA NPort 5110-servere, der kører firmwareversion 2.10. Det siger noget om at virksomheders IT Chef ikke ofte har styr på sikkerheden hos leverandører af Videoovervågning. Dette understreges bl.a. af følgende udsagn fra CISA (der regnes for verdens største sikkerhedsautoritet:
“En vellykket udnyttelse af enhver af de nævnte disse sårbarheder kan gøre det muligt for en hacker at ændre hukommelsesværdier og / eller få enheden til at reagere,”
siger CISA, USA’s sikkerhedsagentur…
“Mange Edge Computing og IOT enheder bruges siden tidernes morgen (installationstidspunkter) til bots fra russiske, kinesiske og nordkoreanske statsstøttede hackere og adgang til information såsom TV og LYD er attraktive for disse grupper, der også kan bruge enheder til mere end dette, da de fleste enheder indeholder en komplet embedded LINUX server der kan lidt af hvert, især hvis der er høj båndbredde bagved, fordi mange ikke konfigurere firmaets netværk og videoovervågning i 2 forskellige puljer og selv da kan man lave f.eks. packet sniffing på WIFI,”
Michael Rasmussen fortsætter: “Vil man sikre sig, kan man kontakte os der har den fornødne ekspertise at lukke for sådanne og fremtidige angreb, der før eller siden kan eskaleres til andre dele af virksomheden. Det er jo heller ikke rat at blive udpeget som et botnetværk fordi alle disse enheder kan bruges som DOS (Denial Of Servive) angreb.
sagde Michael Rasmussen fra VIDEO ANALYSE A/S, telefon +45 77777770 lokal 144.
Kilde: Nozomi og CISA.GOV
Fotokredit: DAHUA
Kilde:
