Preguntas frecuentes: Vulnerabilidad de la inyección Command
Pregunta: ¿Cuál es la vulnerabilidad de la inyección Command?
Respuesta: Como se indica en la notificación oficial de seguridad HSRC-202109-01 de Hikvision, se encontró una vulnerabilidad de inyección de comando en el servidor web de algunos productos Hikvision. Debido a una validación de entrada insuficiente, un atacante podría explotar potencialmente la vulnerabilidad para lanzar un ataque de inyección de comandos enviando un mensaje especialmente diseñado con comandos maliciosos.
Pregunta: ¿Dónde puedo obtener más información?
Respuesta: • Notificación de seguridad de Hikvision. La empresa publicó la notificación de seguridad en el sitio web de la empresa el 18 de septiembre y la publicó en las cuentas de redes sociales el 19 de septiembre.
• Informe de divulgación del investigador de seguridad
Pregunta: ¿Se trata de un gobierno chino que está detrás de la puerta?
Respuesta: No. Hikvision no tiene puertas traseras gubernamentales en nuestros productos. Watchful_IP, el investigador de seguridad que informó responsablemente de esta vulnerabilidad a Hikvision, declaró: “No, definitivamente NO. No lo harías así. Y no todos los tipos de firmware se ven afectados”.
Pregunta: ¿Qué ha hecho Hikvision para lidiar con la vulnerabilidad?
Respuesta: Hikvision sigue los principios de divulgación responsable y el Proceso de divulgación coordinada de vulnerabilidades estándar que es ampliamente aceptado en las industrias globales y se refiere a los mecanismos mediante los cuales las vulnerabilidades se comparten y divulgan de manera controlada para proteger mejor a los propietarios y usuarios finales del software.
El 23 de junio de 2021, un investigador de seguridad, llamado Watchful IP, se puso en contacto con Hikvision, quien informó de una posible vulnerabilidad en una cámara de Hikvision. Una vez que confirmamos la recepción de este informe, Hikvision trabajó directamente con el investigador para parchear y verificar la mitigación exitosa de la vulnerabilidad informada.
Como señaló el investigador en su informe de divulgación, “estaba encantado de tener en cuenta que este problema se solucionó de la manera recomendada”.
Después de que la empresa y el investigador se aseguraran de que la vulnerabilidad se hubiera parcheado correctamente con el firmware actualizado, publicamos la notificación de seguridad en el sitio web de la empresa y en las redes sociales el 19 de septiembre.
Pregunta: ¿Cuál es la recomendación de la empresa con respecto al “reenvío de puertos”?
Respuesta: Un blog de la industria incluyó la información engañosa sobre la recomendación de la empresa sobre el “reenvío de puertos” en su reciente publicación. Tenga en cuenta que, de acuerdo con la directriz de la empresa “Acerca del reenvío de puertos”, Hikvision advierte a sus usuarios finales contra el reenvío de puertos y advierte que “el reenvío de puertos solo debe configurarse cuando sea absolutamente necesario”.
Cuando los usuarios finales eligen configurar de forma afirmativa el reenvío de puertos para dispositivos a los que se debe acceder a través de Internet, Hikvision admite las siguientes prácticas recomendadas de ciberseguridad: (1) “minimizar los números de puerto expuestos a Internet”, (2) “evitar puertos comunes y reconfigurarlos a puertos personalizados”; y “habilitar el filtrado de IP”, (3) establecer una contraseña segura y (4) actualizar el firmware del dispositivo más reciente publicado por Hikvision de manera oportuna.
Pregunta: ¿Cómo evaluar los riesgos de mis dispositivos Hikvision?
Respuesta: Para explotar esta vulnerabilidad, un atacante debe estar en la misma red que el dispositivo vulnerable. En otras palabras, si el atacante puede ver la pantalla de inicio de sesión de un dispositivo vulnerable, podría atacarlo. Si no pueden acceder a la pantalla de inicio de sesión de un dispositivo vulnerable, no podrán explotar la vulnerabilidad.
Para evaluar el nivel de riesgo de un dispositivo vulnerable, compruebe si el modelo afectado expone sus servidores http/https (normalmente 80/443) directamente a Internet (WAN), lo que daría a un posible atacante la capacidad de atacar ese dispositivo desde Internet. A continuación se muestran algunos ejemplos:
1 red LAN sin acceso a Internet (bajo riesgo)
Un atacante potencial no puede acceder al servidor web del dispositivo desde Internet, por lo que el riesgo es bajo (el atacante debe tener acceso a LAN para explotar esta vulnerabilidad, es decir, con bajo riesgo)
2 Red WAN con servidor http(s) de dispositivo de bloqueo de firewall (bajo riesgo)
Dado que el atacante potencial sigue sin poder acceder a la web del dispositivo desde Internet,en esta situación el sistema sigue considerándose de bajo riesgo
3 Hik-Connect y Hik-ProConnect (bajo riesgo)
HC y HPC son casos especiales del segundo escenario anterior, no se necesita http(s) en el servicio HC/HPC, por lo que será tan seguro como de costumbre
4 Acceso VPN desde Internet (bajo riesgo)
VPN (Virtual Private Network) solo permite a los usuarios verificados iniciar sesión y acceder a dispositivos desde la red del sitio, por lo que es una forma segura de acceder al dispositivo y no es fácil ser atacado
5 Reenvío de puertos (alto riesgo)
El reenvío de puertos es una forma fácil y económica para que los usuarios accedan de forma remota a un dispositivo; sin embargo, el reenvío de puertos conlleva riesgos adicionales porque le dice al firewall que no bloquee el tráfico a ese dispositivo desde Internet en ciertos puertos. Por lo tanto, con la vulnerabilidad actual, siempre que un atacante potencial tenga acceso a un dispositivo a través de sus puertos http(s) reenviados, el dispositivo tiene un alto riesgo de ser atacado.
6 DDNS (alto riesgo)
El DNS dinámico (DDNS) también utiliza el reenvío de puertos para que un atacante potencial pueda seguir teniendo acceso a un dispositivo desde Internet, lo que pone al dispositivo en alto riesgo de ser atacado.
7 Acceso directo a WAN (alto riesgo)
Algunos sitios instalan dispositivos directamente en Internet (WAN). Siempre que el dispositivo tenga una dirección IP abierta y sus puertos http(s) estén expuestos a Internet, el dispositivo corre un alto riesgo de ser atacado.
En resumen, la forma más fácil de evaluar el nivel de riesgo del sistema es comprobar si puede acceder a la página web del dispositivo directamente sin ninguna variación adicional de la red. En caso afirmativo, el sistema debe considerarse de alto riesgo.
Por lo que sabemos, hasta la fecha no existe ninguna prueba de concepto pública ni ningún uso malicioso de esta vulnerabilidad. Sin embargo, ahora que el parche se ha lanzado y los atacantes saben que existe esta vulnerabilidad, la buscarán. Si tiene una cámara/NVR afectada cuyo servicio http(s) está directamente expuesto a Internet, Hikvision le recomienda encarecidamente que parchee su dispositivo inmediatamente (recomendado) y utilice una solución más segura, como una VPN.
NOTA: Este documento aborda el riesgo de ataque a Internet. Supone que su red interna está correctamente segmentada y que un actor de amenazas no ha obtenido acceso a su red interna. Para evaluar mejor el riesgo, determine si su red interna es de confianza y, si no es así, tome las medidas adecuadas para parchear y segmentar su red de videovigilancia de otras partes de su red interna.
Este sitio web utiliza cookies para almacenar información en su dispositivo. Las cookies ayudan a que nuestro sitio web funcione normalmente y nos muestran cómo podemos mejorar su experiencia de usuario.
Al continuar navegando por el sitio, usted acepta nuestra política de cookies y nuestra política de privacidad.
Selector de productos
New Products
HiTools Designer
Hikvision App Store
Hikvision License Activation
