Информация и безопасность Dahua. IFSEC Global
По мере того как люди отворачиваются от физических охранников, сотрудников службы безопасности и охранников животных к камерам видеонаблюдения с цифровой видеозаписью (DVR), хакеры обнаружили уязвимость в старых технологиях, которые позволяют нарушить доступ к учетным записям установленных домашних устройств наблюдения. что может поставить под угрозу владельцев. Dahua - ведущая компания, занимающаяся технологиями безопасности и видеонаблюдения, которая предоставляет современные безопасные решения для замены устаревших модулей с использованием уже существующих соединений и кабелей. Тем не менее, похоже, что существует уязвимость, которая известна с 2013 года в устройствах DVR Dahua для обработки изображений безопасности, для которых было отправлено обновление для повышения безопасности, но, поскольку многие пользователи не воспользовались бесплатным обновлением, тысячи устройств были были украдены их учетные данные для доступа, и теперь они помечены красным ярлыком как угроза.
Эксплойт был тщательно исследован и подробно описан, прежде чем быть представлен публике. В отчет CVE-2013-6117, обнаруженный и подробно описанный Джейком Рейнольдсом, объясняет, что эксплойт начинается с того, что хакер запускает протокол управления передачей с устройством Dahua на порту 37777 для полезной нагрузки. На этот запрос устройство затем автоматически отправляет свои учетные данные системы динамических доменных имен, которые хакер может затем использовать для удаленного доступа к устройству, подделки его сохраненного содержимого, а также для управления его конфигурациями. С тех пор, как было сообщено об уязвимости, были отправлены запросы на обновление, но, поскольку многие пользователи предпочли отказаться от обновлений, их учетные данные были украдены и теперь доступны в ZoomEye, поисковой системе, которая ведет учет информации, полученной с различных устройств и онлайн-сайтов.
Поисковая система в киберпространстве ZoomEye. ICS ZoomEye
Устройства Dahua DVR работают через порт TCP 37777, через который они используют простой двоичный протокол для доступа к системе камеры DVR из удаленного места в сети. Ни на одном этапе этого процесса не требуется достаточной аутентификации учетных данных, как ожидается в случае одноразовых бинарных процедур. Это прямое подключение к порту устройства, обеспечивающее доступ к текущим потокам видеоматериалов, а также к ранее записанным материалам, которыми можно управлять и стирать удаленно. ActiveX, PSS, iDMSS и тому подобное позволяют хакеру также обойти минимальную страницу входа в систему, которая затем позволяет хакеру отправлять неавторизованные запросы, которые могут делать все, от очистки DVR до изменения учетных данных для доступа. В другом сценарии хакер может получить доступ к порту TCP 37777, чтобы оценить прошивку и серийный номер используемого цифрового видеорегистратора. Используя одноразовые бинарные протоколы, описанные ниже, он / она может получить информацию электронной почты, DDNS и FTP, хранящуюся на устройстве. Эту информацию можно использовать для отслеживания страницы входа на веб-портал удаленного доступа DVR, после чего хакер может получить доступ к интересующим потокам и видеозаписям. Это происходит в том случае, если хакер не перехитрит процесс и не обходит страницу входа полностью, как указывалось ранее.
Страница удаленного входа в Интернет. Глубина безопасности
Изучив записи ZoomEye, становится ясно, что эта уязвимость была использована для доступа к сотням тысяч цифровых видеорегистраторов и получения их учетных данных для удаленного просмотра через веб-портал продукта. Журналы тысяч паролей хранятся в открытом доступе на ZoomEye, и простой поиск паролей или имен пользователей может вернуть невероятное количество обращений. Просматривая скомпилированные данные, неудобно видеть, что около 14 000 человек предпочитают использовать свой пароль в качестве «пароля», но это не является прямым поводом для беспокойства по поводу этой уязвимости. Dahua выпустила обновление, которое добавляет дополнительные уровни безопасности для предотвращения несанкционированного доступа к материалам камеры, но, несмотря на это, удаленный доступ делает весь процесс немного подозрительным, поскольку нет ограничений по времени и месту для доступа, а также владельца может подключиться к своим камерам издалека, что и хакер, которому удалось украсть учетные данные для входа. Как объяснялось выше, украсть их не так уж сложно, когда все устройства Dahua работают с одинаковыми портами и соединениями.
