Otázky a odpovědi: Záplata zranitelnosti

Otázka: Co je záplata zranitelnosti?

Odpověď: Jak je uvedeno v oficiálním bezpečnostním oznámení Hikvision HSRC-202109-01, na webovém serveru některých produktů Hikvision byla nalezena chyba zabezpečení při vložení příkazu. Due to an insufficient input validation, an attacker could potentially exploit the vulnerability to launch a command injection attack by sending a specially crafted message with malicious commands.

Otázka: Kde mohu získat více informací?

Odpověď: • Bezpečnostní upozornění Hikvision. Společnost vydala bezpečnostní upozornění na svých webových stránkách 18. září a zveřejnila na účtech sociálních médií 19. září.

• Bezpečnostní zpráva výzkumného pracovníka

Otázka: Jsou to zadní vrátka čínské vlády?

Odpověď: Ne. Hikvision nemá ve svých produktech vládní zadní vrátka. Watchful_IP, bezpečnostní výzkumník, který zodpovědně nahlásil tuto zranitelnost společnosti Hikvision, prohlásil: „Ne, rozhodně NE. Takhle byste to neudělali. A ne všechny typy firmwaru jsou ovlivněny.“

Otázka: Co udělal Hikvision, aby se vypořádal se zranitelností?

Odpověď: Společnost Hikvision dodržuje zásady odpovědného zveřejňování a standardní koordinovaný postup zveřejňování ohrožení zabezpečení, který je široce přijímán v globálních průmyslových odvětvích a týká se mechanismů, pomocí kterých jsou zranitelnosti sdíleny a zveřejňovány kontrolovaným způsobem, aby co nejlépe chránily vlastníky a koncové uživatele softwaru.

23. června 2021 byl Hikvision kontaktován bezpečnostním výzkumníkem jménem Watchful IP, který nahlásil potenciální zranitelnost v kameře Hikvision. Jakmile jsme potvrdili přijetí této zprávy, Hikvision spolupracoval přímo s výzkumníkem na opravě a ověření úspěšného zmírnění hlášené zranitelnosti.

Jak výzkumník poznamenal ve své zprávě o odhalení, „s potěšením zaznamenal, že tento problém byl vyřešen doporučeným způsobem“.

Poté, co se společnost i výzkumník ujistili, že zranitelnost byla řádně opravena aktualizovaným firmwarem, vydali jsme 19. září bezpečnostní oznámení na webových stránkách společnosti a na sociálních sítích.

Otázka: Jaké je doporučení společnosti ohledně „přesměrování portů“?

Odpověď: Odvětvový blog obsahoval ve svém nedávném příspěvku zavádějící informace týkající se doporučení společnosti ohledně „přesměrování portů“. Vezměte prosím na vědomí, že podle pokynů společnosti „O přesměrování portů“ společnost Hikvision varuje své koncové uživatele před přesměrováním portů a radí, že „přesměrování portů by mělo být nakonfigurováno pouze v případě, že je to absolutně nutné“.

Tam, kde se koncoví uživatelé rozhodnou konfigurovat přesměrování portů pro zařízení, k nimž je třeba přistupovat přes internet, Hikvision podporuje následující osvědčené postupy kybernetické bezpečnosti: (1) „minimalizujte čísla portů vystavených internetu“, (2) „vyhýbejte se běžným portům a překonfigurujte je na přizpůsobené porty“; a „povolit filtrování IP“. (3) Nastavte silné heslo a (4) včas upgradujte na nejnovější firmware zařízení vydaný společností Hikvision.

Otázka: Jak vyhodnotit rizika mých zařízení Hikvision?

Odpověď: Aby bylo možné tuto chybu zabezpečení zneužít, musí být útočník ve stejné síti jako zranitelné zařízení. Jinými slovy, pokud je útočník schopen zobrazit přihlašovací obrazovku zranitelného zařízení, mohl by na něj zaútočit. Pokud se nemohou dostat na přihlašovací obrazovku zranitelného zařízení, nemohou tuto chybu zabezpečení zneužít.

Chcete-li vyhodnotit úroveň rizika zranitelného zařízení, zkontrolujte, zda postižený model nevystavuje své servery http/https (obvykle 80/443) přímo internetu (WAN), což by potenciálnímu útočníkovi umožnilo zaútočit na toto zařízení z internetu. Níže uvádíme několik příkladů:

① LAN síť bez přístupu k internetu (nízké riziko)

Potenciální útočník nemůže získat přístup k webovému serveru zařízení z internetu, takže riziko je nízké (útočník musí mít přístup k síti LAN, aby mohl tuto chybu zabezpečení zneužít, to je to, co máme na mysli s nízkým rizikem)

② Síť WAN se serverem http(s) blokujícím firewall (nízké riziko)

Vzhledem k tomu, že potenciální útočník stále nemůže přistupovat na web zařízení z Internetu, je v této situaci systém stále považován za nízkorizikový

③ Hik-Connect Hik-ProConnect (nízké riziko)

HC a HPC jsou speciální případy výše uvedeného druhého scénáře, http(s) není potřeba ve službě HC/HPC, takže bude stejně bezpečná jako obvykle

④ VPN přístup z internetu (nízké riziko)

VPN (Virtual Private Network) umožňuje přihlášení a přístup k zařízením ze sítě webu pouze ověřeným uživatelům, takže je to bezpečný způsob přístupu k zařízení a není snadné být napaden

⑤ Přesměrování portů (vysoké riziko)

Přesměrování portů je pro uživatele snadný a levný způsob, jak vzdáleně přistupovat k zařízení, ale přesměrování portů přináší další rizika, protože říká bráně firewall, aby na určitých portech neblokovala provoz na toto zařízení z internetu. Proto při současné zranitelnosti, pokud má potenciální útočník přístup k zařízení prostřednictvím jeho předávaných portů http(s), je zařízení vystaveno vysokému riziku napadení.

⑥ DDNS (vysoké riziko)

Dynamic DNS (DDNS) také používá přesměrování portů, takže potenciální útočník může mít stále přístup k zařízení z internetu, čímž je zařízení vystaveno vysokému riziku napadení.

⑦ Přímý přístup k WAN (vysoké riziko)

Některé weby instalují zařízení přímo do Internetu (WAN). Dokud má zařízení otevřenou IP adresu a jeho http(s) porty jsou vystaveny internetu, je zařízení vystaveno vysokému riziku napadení.

Stručně řečeno, nejsnadnějším způsobem, jak vyhodnotit úroveň systémového rizika, je zkontrolovat, zda máte přímý přístup na webovou stránku zařízení bez jakýchkoli dalších síťových změn. Pokud ano, měl by být systém považován za vysoce rizikový.

Pokud víme, dosud neexistuje žádný veřejný důkaz konceptu nebo jakéhokoli škodlivého použití této chyby zabezpečení. Nyní, když byl patch vydán a útočníci vědí, že tato chyba zabezpečení existuje, budou ji hledat. Pokud máte postiženou kameru/NVR, jejíž služba http(s) je přímo vystavena internetu, společnost Hikvision důrazně doporučuje, abyste své zařízení okamžitě opravili (doporučeno) a použili bezpečnější řešení, jako je VPN.

Poznámka: Tento dokument se zabývá rizikem internetového útoku. Předpokládá, že vaše vnitřní síť je správně segmentována a že do vaší vnitřní sítě nezískal přístup žádný činitel ohrožení. Chcete-li dále vyhodnotit riziko, zjistěte, zda je vaše interní síť důvěryhodná, a pokud ne, proveďte vhodná opatření k opravě a segmentaci vaší sítě video dohledu od ostatních částí vaší interní sítě.