P: ¿Qué es la Vulnerabilidad de inyección de comandos?
R: Como se indica en la Notificación de Seguridad HSRC-202109-01 oficial de Hikvision, se encontró una vulnerabilidad de inyección de comandos en el servidor web de algunos productos de Hikvision. Debido a una validación de entrada insuficiente, un atacante podría aprovechar esta vulnerabilidad para lanzar un ataque de inyección de comandos por medio de un mensaje especialmente diseñado con comandos maliciosos.
P: ¿Dónde puedo obtener más información?
R: • Notificación de Seguridad de Hikvision . La compañía publicó una Notificación de Seguridad en su sitio web el 18 de septiembre y en sus cuentas de redes sociales el 19 de septiembre.
• Informe de divulgación del investigador de seguridad
P: ¿Se trata de una puerta trasera del gobierno chino?
R: No. Hikvision no tiene puertas traseras gubernamentales en nuestros productos. Watchful_IP, el investigador de seguridad que informó responsablemente sobre esta vulnerabilidad a Hikvision, declaró: “No, definitivamente NO. Uno no lo haría así. Y no todos los tipos de firmware se ven afectados".
P: ¿Qué ha hecho Hikvision para resolver esta vulnerabilidad?
R: Hikvision sigue los principios de divulgación responsable y el Proceso de divulgación de vulnerabilidades coordinado estándar que es ampliamente aceptado en las industrias globales, el cual se refiere a los mecanismos mediante los cuales las vulnerabilidades se comparten y divulgan de manera controlada para proteger mejor a los propietarios y usuarios finales del software.
El 23 de junio de 2021, un investigador de seguridad, llamado Watchful IP, se puso en contacto con Hikvision para informar sobre una vulnerabilidad potencial en una cámara de Hikvision. Una vez que confirmamos la recepción de este informe, Hikvision trabajó directamente con el investigador para parchear y verificar la mitigación exitosa de la vulnerabilidad denunciada.
Como señaló el investigador en su informe de divulgación, estaba "complacido de notar que este problema se solucionó de la manera recomendada".
Después de que la empresa y el investigador se aseguraron de que la vulnerabilidad se había parcheado correctamente con el firmware actualizado, publicamos la Notificación de Seguridad en el sitio web y en las redes sociales el 19 de septiembre.
P: ¿Qué recomienda la compañía respecto al "reenvío de puertos"?
R: Una reciente publicación en un blog de la industria incluyó información engañosa con respecto a la recomendación de la compañía sobre un "reenvío de puertos". Hay que tener en cuenta que, de acuerdo con la directriz de la empresa "Acerca del reenvío de puertos", Hikvision advierte a sus usuarios finales sobre el reenvío de puertos y advierte que "el reenvío de puertos solo debe configurarse cuando sea absolutamente necesario".
Cuando los usuarios finales eligen de manera afirmativa configurar el reenvío de puertos para dispositivos a los que se debe acceder a través de Internet, Hikvision recomienda las siguientes mejores prácticas de ciberseguridad: (1) "minimizar los números de puerto expuestos a Internet", (2) "evitar los puertos comunes y reconfigurarlos en puertos personalizados", y “habilitar el filtrado de IP”, (3) Establecer una contraseña segura, y (4) actualizar al último firmware del dispositivo lanzado por Hikvision de manera oportuna.
P: ¿Cómo evaluar los riesgos de mis dispositivos Hikvision?
R: Para explotar esta vulnerabilidad, un atacante debe estar en la misma red que el dispositivo vulnerable. Es decir, si el atacante puede ver la pantalla de inicio de sesión de un dispositivo vulnerable, podría atacarlo. Pero si no puede acceder a la pantalla de inicio de sesión de un dispositivo vulnerable, no podrá explotar la vulnerabilidad.
Para evaluar el nivel de riesgo de un dispositivo vulnerable, verifique si el modelo afectado expone sus servidores http/https (normalmente 80/443) directamente a Internet (WAN), lo que le daría a un atacante potencial la capacidad de atacar ese dispositivo desde Internet. Estos son algunos ejemplos:
1. Red LAN sin acceso a Internet (bajo riesgo)
Un atacante potencial no puede acceder al servidor web del dispositivo desde Internet, por lo que el riesgo es bajo (el atacante debe tener acceso a la LAN para explotar esta vulnerabilidad, eso es lo que queremos decir con bajo riesgo).