Preguntas frecuentes: Vulnerabilidad en inyección de comandos

P: ¿Qué es la Vulnerabilidad de inyección de comandos?

R: Como se indica en la Notificación de Seguridad HSRC-202109-01 oficial de Hikvision, se encontró una vulnerabilidad de inyección de comandos en el servidor web de algunos productos de Hikvision. Debido a una validación de entrada insuficiente, un atacante podría aprovechar esta vulnerabilidad para lanzar un ataque de inyección de comandos por medio de un mensaje especialmente diseñado con comandos maliciosos.

P: ¿Dónde puedo obtener más información?

R: •      Notificación de Seguridad de Hikvision . La compañía publicó una Notificación de Seguridad en su sitio web el 18 de septiembre y en sus cuentas de redes sociales el 19 de septiembre.

•      Informe de divulgación del investigador de seguridad

P: ¿Se trata de una puerta trasera del gobierno chino?

R: No. Hikvision no tiene puertas traseras gubernamentales en nuestros productos. Watchful_IP, el investigador de seguridad que informó responsablemente sobre esta vulnerabilidad a Hikvision, declaró: “No, definitivamente NO. Uno no lo haría así. Y no todos los tipos de firmware se ven afectados".

P: ¿Qué ha hecho Hikvision para resolver esta vulnerabilidad?

R: Hikvision sigue los principios de divulgación responsable y el Proceso de divulgación de vulnerabilidades coordinado estándar que es ampliamente aceptado en las industrias globales, el cual se refiere a los mecanismos mediante los cuales las vulnerabilidades se comparten y divulgan de manera controlada para proteger mejor a los propietarios y usuarios finales del software.

El 23 de junio de 2021, un investigador de seguridad, llamado Watchful IP, se puso en contacto con Hikvision para informar sobre una vulnerabilidad potencial en una cámara de Hikvision. Una vez que confirmamos la recepción de este informe, Hikvision trabajó directamente con el investigador para parchear y verificar la mitigación exitosa de la vulnerabilidad denunciada.

Como señaló el investigador en su informe de divulgación, estaba "complacido de notar que este problema se solucionó de la manera recomendada".

Después de que la empresa y el investigador se aseguraron de que la vulnerabilidad se había parcheado correctamente con el firmware actualizado, publicamos la Notificación de Seguridad en el sitio web y en las redes sociales el 19 de septiembre.

P: ¿Qué recomienda la compañía respecto al "reenvío de puertos"?

R: Una reciente publicación en un blog de la industria incluyó información engañosa con respecto a la recomendación de la compañía sobre un "reenvío de puertos". Hay que tener en cuenta que, de acuerdo con la directriz de la empresa "Acerca del reenvío de puertos", Hikvision advierte a sus usuarios finales sobre el reenvío de puertos y advierte que "el reenvío de puertos solo debe configurarse cuando sea absolutamente necesario".

Cuando los usuarios finales eligen de manera afirmativa configurar el reenvío de puertos para dispositivos a los que se debe acceder a través de Internet, Hikvision recomienda las siguientes mejores prácticas de ciberseguridad: (1) "minimizar los números de puerto expuestos a Internet", (2) "evitar los puertos comunes y reconfigurarlos en puertos personalizados", y “habilitar el filtrado de IP”, （3） Establecer una contraseña segura, y (4) actualizar al último firmware del dispositivo lanzado por Hikvision de manera oportuna.

P: ¿Cómo evaluar los riesgos de mis dispositivos Hikvision?

R: Para explotar esta vulnerabilidad, un atacante debe estar en la misma red que el dispositivo vulnerable. Es decir, si el atacante puede ver la pantalla de inicio de sesión de un dispositivo vulnerable, podría atacarlo. Pero si no puede acceder a la pantalla de inicio de sesión de un dispositivo vulnerable, no podrá explotar la vulnerabilidad.

Para evaluar el nivel de riesgo de un dispositivo vulnerable, verifique si el modelo afectado expone sus servidores http/https (normalmente 80/443) directamente a Internet (WAN), lo que le daría a un atacante potencial la capacidad de atacar ese dispositivo desde Internet. Estos son algunos ejemplos:

1. Red LAN sin acceso a Internet (bajo riesgo)

Un atacante potencial no puede acceder al servidor web del dispositivo desde Internet, por lo que el riesgo es bajo (el atacante debe tener acceso a la LAN para explotar esta vulnerabilidad, eso es lo que queremos decir con bajo riesgo).

2. Red WAN con servidor http(s) de dispositivo de bloqueo de firewall (bajo riesgo)

Dado que el atacante potencial aún no puede acceder a la web del dispositivo desde Internet, el sistema aún se considera de bajo riesgo.

3. Hik-Connect y Hik-ProConnect (bajo riesgo)

HC y HPC son casos especiales del segundo escenario anterior, no se necesita http(s) en el servicio HC/HPC, por lo que será tan seguro como de costumbre.

4. Acceso VPN desde Internet (bajo riesgo)

VPN (red privada virtual) permite que solo los usuarios verificados inicien sesión y accedan a los dispositivos desde la red del sitio, por lo que es una forma segura de acceder al dispositivo y previene ataques.

5. Reenvío de puertos (alto riesgo)

El reenvío de puertos es una forma fácil y económica para que los usuarios accedan de forma remota a un dispositivo; sin embargo, el reenvío de puertos conlleva riesgos adicionales porque le dice al firewall que no bloquee el tráfico a ese dispositivo desde Internet en ciertos puertos. Por lo tanto, con la vulnerabilidad actual, siempre que un atacante potencial tenga acceso a un dispositivo a través de sus puertos http reenviados, el dispositivo corre un alto riesgo de ser atacado.

6. DDNS (alto riesgo)

El DNS dinámico (DDNS) también utiliza el reenvío de puertos, por lo que un atacante potencial aún podría tener acceso a un dispositivo desde Internet, lo que pone al dispositivo en alto riesgo de ser atacado.

7. Acceso WAN directo (alto riesgo)

Algunos sitios instalan dispositivos directamente a Internet (WAN). Si el dispositivo tiene una dirección IP abierta y sus puertos http están expuestos a Internet, el dispositivo correrá un alto riesgo de ser atacado.

En conclusión, la forma más sencilla de evaluar el nivel de riesgo del sistema es comprobar si puede acceder a la página web del dispositivo directamente sin ninguna variación de red adicional. Si es así, el sistema debe considerarse de alto riesgo.

Hasta donde sabemos, todavía no hay una prueba de concepto pública ni se ha dado ningún uso malintencionado de esta vulnerabilidad. Sin embargo, ahora que se lanzó el parche y los atacantes saben que existe esta vulnerabilidad, la estarán buscando. Si usted tiene una cámara o NVR afectada cuyo servicio http(s) está expuesto directamente a Internet, Hikvision le recomienda encarecidamente que parche su dispositivo de inmediato (recomendado) y utilice una solución más segura, como una VPN.

NOTA: Este documento se refiere al riesgo de ataques de Internet. Asume que su red interna está correctamente segmentada y que un actor de amenazas no ha obtenido acceso a su red interna. Para una evaluación más profunda del riesgo, determine si su red interna es confiable y, de no ser así, tome las medidas adecuadas para parchear y segmentar su red de videovigilancia de otras partes de su red interna.