Ranjivosti u Dahua video nadzornim uređajima

Samo mjesec dana nakon što je kompanija Dahua objavila upozorenje u kojem savjetuje korisnike da izvrše nadogradnju firmware-a na navedenim modelima, na GitHub-u se pojavio proof of concept (PoC). Dahua uređaji koje nisu ažuriran su podložni zaobilasku procesa autentifikacije, a ranjivosti su identifikovane kao CVE-2021-33044 i CVE-2021-33045 i obije omogućavaju daljinsko iskorištavanje procesa prijave na uređaj slanjem posebno pripremljenih paketa na ciljani uređaj.

Video nadzorna kamera

Objava  na GitHub-u je povećala važnost procesa ažuriranja, jer je vrlo vjerovatno da se praksa  nemarnog procesa instalacije i konfiguracije ovih uređaja odnosi i na proces nadogradnje, pa je broj nezaštićenih na uređaja velik. Prilikom pretrage na servisu Shodan se može pronaći  preko 1,2 miliona uređaja dostupnih globalno na Internetu. 

Globalno dostupni Dahua uređaji. Izvor: Shodan.

Dostupni Dahua uređaji u BiH. Izvor: Shodan.

Zaštita. Pored nadogradnje uređaja na zadnje dostupno ažuriranje, potrebno je izvršiti promjenu lozinki koristeći dobru praksu jakih i kompleksnih lozinki, pogotovo ako su podaci za prijavu na uređaj “admin” – “admin”.  Preporučeno je da se uradi izolaciju mreže na kojoj su spojeni uređaji, ako je moguće. Kada je riječ o bežičnim kamerama, obavezno koristiti WPA2 enkripciju. Za modele koji su povezani sa oblakom (cloud-enabled), moguće je automatski izvršiti ažuriranje iz kontrolnog interfejsa.

Dostupni Dahua uređaji u BiH – top 10 gradova. Izvor: Shodan.