Preguntas frecuentes: Vulnerabilidad de inyección de comandos

Preguntas frecuentes: Vulnerabilidad de inyección de comandos

 

P: ¿Qué es la vulnerabilidad de inyección de comandos?

R: Como se indica en la notificación de seguridad HSRC-202109-01 oficial de Hikvision, se encontró una vulnerabilidad de inyección de comandos en el servidor web de algunos productos de Hikvision. Debido a una validación de entrada insuficiente, un atacante podría aprovechar la vulnerabilidad para lanzar un ataque de inyección de comandos enviando un mensaje especialmente diseñado con comandos maliciosos.

 

P: ¿Dónde puedo encontrar más información?

R: •     Notificación de Seguridad de Hikvision. La compañía publicó una notificación de seguridad en su sitio web el 18 de septiembre y la publicó en las cuentas de las redes sociales el 19 de septiembre.

•            Informe de divulgación del investigador de seguridad 

 

P: ¿Se trata de una puerta trasera del gobierno chino?

R: No. Hikvision no tiene puertas traseras gubernamentales en sus productos. Watchful_IP, el investigador de seguridad que informó de forma responsable sobre esta vulnerabilidad a Hikvision, declaró: “No, definitivamente NO. Nadie lo haría de esta manera. Y no todos los tipos de firmware se ven afectados».

 

P: ¿Qué ha hecho Hikvision para lidiar con la vulnerabilidad?

 

 

R: Hikvision sigue los principios de divulgación responsable y el proceso de divulgación de vulnerabilidades coordinado estándar, ampliamente aceptado en las industrias globales, y se refiere a los mecanismos mediante los cuales las vulnerabilidades se comparten y divulgan de manera controlada para proteger mejor a los propietarios y usuarios finales del software.

 

El 23 de junio de 2021, un investigador de seguridad, llamado Watchful IP, se puso en contacto con Hikvision e informó sobre una vulnerabilidad potencial en una cámara de Hikvision. Una vez que confirmamos la recepción de este informe, Hikvision trabajó directamente con el investigador para parchear y verificar la correspondiente mitigación de la vulnerabilidad informada.

Como señaló el investigador en su informe de divulgación, estaba «complacido de observar que este problema se solucionó de la manera recomendada».

Después de que la empresa y el investigador se aseguraron de que la vulnerabilidad se había parcheado correctamente con el firmware actualizado, publicamos la notificación de seguridad en el sitio web de la compañía y en las redes sociales el 19 de septiembre.

 

P: ¿Cuál es la recomendación de la compañía con relación al «reenvío de puertos»?   

R: Un blog de la industria incluyó información engañosa con respecto a la recomendación de la compañía sobre el «reenvío de puertos» en su publicación reciente. Tenga en cuenta que, de acuerdo con la directriz de la compañía «Acerca del reenvío de puertos», Hikvision advierte a los usuarios finales contra el reenvío de puertos y advierte que «el reenvío de puertos solo debe configurarse cuando sea absolutamente necesario».

 

Cuando los usuarios finales deciden de manera consciente configurar el reenvío de puertos para los dispositivos a los que se debe acceder a través de Internet, Hikvision es compatible con las siguientes prácticas de ciberseguridad: (1) «minimizar los números de puertos expuestos a Internet», (2) «evitar los puertos comunes y reconfigurarlos como puertos personalizados» y «habilitar el filtrado IP», (3) Establecer una contraseña segura y (4) actualizar al último firmware del dispositivo lanzado por Hikvision de manera oportuna.

 

P: ¿Cómo puedo evaluar los riesgos de mis dispositivos Hikvision?

R: Para aprovechar esta vulnerabilidad, un atacante debe estar en la misma red que el dispositivo vulnerable. En otras palabras, si el atacante ve la pantalla de inicio de sesión de un dispositivo vulnerable, podría atacarlo. Si no puede acceder a la pantalla de inicio de sesión de un dispositivo vulnerable, no podrá aprovechar la vulnerabilidad.

 

Para evaluar el nivel de riesgo de un dispositivo vulnerable, compruebe si el modelo afectado expone sus servidores http/https (normalmente 80/443) directamente a Internet (WAN), lo que le daría a un atacante potencial la capacidad de atacar ese dispositivo desde Internet. Los siguientes son algunos ejemplos:

 

① Red LAN sin acceso a Internet (bajo riesgo)

Un atacante potencial no puede acceder al servidor web del dispositivo desde Internet, por lo que el riesgo es bajo (el atacante debe tener acceso a la LAN para aprovechar esta vulnerabilidad, eso es lo que significa bajo riesgo).

 

②Red WAN con servidor http(s) de dispositivos con bloqueo mediante firewall (bajo riesgo) 

Dado que el atacante potencial aún no puede acceder a la web del dispositivo desde Internet, esta situación aún se considera de bajo riesgo al sistema.

 

③ Hik-Connect y Hik-ProConnect (bajo riesgo)

HC y HPC son un caso especial del segundo escenario anterior, no se necesita http(s) en el servicio HC/HPC, por lo que será tan seguro como de costumbre

 

④ Acceso VPN desde Internet (bajo riesgo)

Una VPN (red privada virtual) permite la conexión exclusivamente a usuarios comprobados y acceso a los dispositivos de una red concreta, por lo que es una forma segura de acceder a los dispositivos, no siendo fácil de atacarlos.

 

 

⑤ Reenvío de puertos (alto riesgo)

El reenvío de puertos es una forma fácil y económica de que los usuarios accedan remotamente a un dispositivo, sin embargo, el reenvío de puertos conlleva riesgos adicionales porque le dice al firewall que no bloquee el tráfico a ese dispositivo desde Internet en ciertos puertos. Por lo tanto, con la vulnerabilidad actual, siempre que un atacante potencial tenga acceso a un dispositivo a través de sus puertos http reenviados, el dispositivo corre un alto riesgo de ser atacado.

 

⑥ DDNS (alto riesgo)

DNS dinámico (DDNS) también utiliza el reenvío de puertos, por lo que un atacante potencial aún podría tener acceso al dispositivo desde Internet, lo que aumenta el riesgo de que el dispositivo sea atacado.

 

⑦ Acceso WAN directo (alto riesgo)

Algunos sitios instalan dispositivos directamente a Internet (WAN). Siempre que el dispositivo tenga una dirección IP abierta y sus puertos http(s) estén expuestos a Internet, el dispositivo corre un alto riesgo de ser atacado.

 

En conclusión, la forma más sencilla de evaluar el nivel de riesgo del sistema es comprobar si se puede acceder a la página web del dispositivo directamente sin ninguna variación adicional de la red. En caso afirmativo, el sistema debe considerarse de alto riesgo.

 

Hasta donde sabemos, las únicas personas que saben cómo aprovechar esta vulnerabilidad son el investigador y HSRC de Hikvision. Sin embargo, ahora que se lanzó el parche y los atacantes saben que existe esta vulnerabilidad, la estarán buscando. Si tiene una cámara o NVR afectado cuyo servicio http(s) está expuesto directamente a Internet, Hikvision le recomienda encarecidamente que instale el parche en su dispositivo de inmediato (recomendado) y utilice una solución más segura, como una VPN.

 

NOTA: Este documento aborda el riesgo de ataques por Internet. Asume que su red interna está correctamente segmentada y que un posible atacante no ha conseguido acceso a su red interna. Para evaluar más el riesgo, determine si su red interna es fiable y, de no ser así, tome las medidas adecuadas para parchear y segmentar su red de videovigilancia, separándola de otras zonas de su red interna.

Contáctenos