FAQ : Vulnérabilité d'injection de commande

Question : Qu'est-ce que la vulnérabilité d'injection de commande ?

Réponse : Comme indiqué dans la notification de sécurité officielle HSRC-202109-01 de Hikvision, une vulnérabilité d'injection de commande a été trouvée sur le serveur Web de certains produits Hikvision. En raison d'une validation d'entrée insuffisante, un attaquant pourrait potentiellement exploiter la vulnérabilité pour lancer une attaque par injection de commande en envoyant un message spécialement conçu avec des commandes malveillantes.

Question : Où puis-je obtenir plus d'informations ?

Réponse : • Notification de sécurité Hikvision La société a publié une notification de sécurité sur le site Web de la société le 18 septembre et publiée sur ses comptes de réseaux sociaux le 19 septembre.

• Rapport de divulgation du chercheur en sécurité

Question : Est-ce une porte dérobée du gouvernement chinois ?

Réponse : Non. Hikvision n'a pas de portes dérobées gouvernementales dans ses produits. Watchful_IP, le chercheur en sécurité qui a signalé de manière responsable cette vulnérabilité à Hikvision, a déclaré : « Non, certainement PAS. Vous ne le feriez pas comme ça. Et tous les types de firmware ne sont pas concernés.

Question : Qu'a fait Hikvision pour faire face à la vulnérabilité ?

Réponse : Hikvision suit les principes de divulgation responsable et le processus standard de divulgation coordonnée des vulnérabilités qui est largement accepté dans les industries mondiales et concerne les mécanismes par lesquels les vulnérabilités sont partagées et divulguées de manière contrôlée afin de protéger au mieux les propriétaires et les utilisateurs finaux des logiciels.

Le 23 juin 2021, Hikvision a été contacté par un chercheur en sécurité, nommé Watchful IP, qui a signalé une vulnérabilité potentielle dans une caméra Hikvision. Une fois que nous avons confirmé la réception de ce rapport, Hikvision a travaillé directement avec le chercheur pour corriger et vérifier l'atténuation réussie de la vulnérabilité signalée.

Comme le chercheur l'a noté dans son rapport de divulgation, il était « heureux de constater que ce problème a été résolu de la manière recommandée ».

Après que la société et le chercheur se soient tous deux assurés que la vulnérabilité avait été correctement corrigée par le micrologiciel mis à jour, nous avons publié la notification de sécurité sur le site Web de la société et sur les réseaux sociaux le 19 septembre.

Question : Quelle est la recommandation de l'entreprise concernant la « redirection de port » ?

Réponse : Un blog de l'industrie a inclus les informations trompeuses concernant la recommandation de l'entreprise sur la « redirection de port » dans son récent article. Veuillez noter que, selon la directive de l'entreprise "À propos de la redirection de port", Hikvision met en garde ses utilisateurs finaux contre la redirection de port et conseille que "la redirection de port ne doit être configurée qu'en cas d'absolue nécessité".

Lorsque les utilisateurs finaux choisissent affirmativement de configurer la redirection de port pour les appareils qui doivent être accessibles via Internet, Hikvision prend en charge les meilleures pratiques de cybersécurité suivantes : (1) « réduire les numéros de port exposés à Internet », (2) « éviter les ports communs et reconfigurez-les en ports personnalisés » ; et "activer le filtrage IP.", (3) définir un mot de passe fort et (4) mettre à niveau vers le dernier micrologiciel de l'appareil publié par Hikvision en temps opportun.

Question : Comment évaluer les risques de mes appareils Hikvision ?

Réponse : Pour exploiter cette vulnérabilité, un attaquant doit se trouver sur le même réseau que l'appareil vulnérable. En d'autres termes, si l'attaquant est capable d'afficher l'écran de connexion d'un appareil vulnérable, il pourrait l'attaquer. S'ils ne peuvent pas accéder à l'écran de connexion d'un appareil vulnérable, ils ne sont pas en mesure d'exploiter la vulnérabilité.

Pour évaluer le niveau de risque d'un appareil vulnérable, vérifiez si le modèle affecté expose ses serveurs http/https (généralement 80/443) directement à Internet (WAN), ce qui donnerait à un attaquant potentiel la possibilité d'attaquer cet appareil depuis Internet. . Ci-dessous quelques exemples :

① Réseau LAN sans accès Internet (faible risque)

Un attaquant potentiel ne peut pas accéder au serveur Web de l'appareil depuis Internet, donc le risque est faible (l'attaquant doit avoir un accès LAN pour exploiter cette vulnérabilité, c'est ce que nous entendons par faible risque)

② Réseau WAN avec pare-feu bloquant le serveur http(s) du périphérique (faible risque)

Étant donné que l'attaquant potentiel ne peut toujours pas accéder au site Web de l'appareil à partir d'Internet, dans cette situation, le système est toujours considéré comme à faible risque

③ Hik-Connect & Hik-ProConnect (faible risque)

HC et HPC sont des cas particuliers du deuxième scénario ci-dessus, http(s) n'est pas nécessaire dans le service HC/HPC, il sera donc aussi sûr que d'habitude

④ Accès VPN depuis Internet (faible risque)

Le VPN (Virtual Private Network) permet uniquement aux utilisateurs vérifiés de se connecter et d'accéder aux appareils du réseau du site, c'est donc un moyen sécurisé d'accéder à l'appareil et pas facile d'être attaqué

⑤ Redirection de port (risque élevé)

La redirection de port est un moyen simple et peu coûteux pour les utilisateurs d'accéder à distance à un appareil, mais la redirection de port comporte des risques supplémentaires car elle indique au pare-feu de ne pas bloquer le trafic vers cet appareil depuis Internet sur certains ports. Par conséquent, avec la vulnérabilité actuelle, tant qu'un attaquant potentiel a accès à un appareil via ses ports http(s) transférés, l'appareil court un risque élevé d'être attaqué.

⑥ DDNS (risque élevé)

Le DNS dynamique (DDNS) utilise également la redirection de port afin qu'un attaquant potentiel puisse toujours avoir accès à un appareil à partir d'Internet, ce qui expose l'appareil à un risque élevé d'être attaqué.

⑦ Accès WAN direct (risque élevé)

Certains sites installent des périphériques directement sur Internet (WAN). Tant que l'appareil a une adresse IP ouverte et que ses ports http(s) sont exposés à Internet, l'appareil court un risque élevé d'être attaqué.

En bref, le moyen le plus simple d'évaluer le niveau de risque du système consiste à vérifier si vous pouvez accéder directement à la page Web de l'appareil sans aucune variation supplémentaire du réseau. Si oui, le système doit être considéré à haut risque.

Pour autant que nous le sachions, il n'y a pas de preuve de concept publique ou d'utilisation malveillante de cette vulnérabilité à ce jour. Cependant, maintenant que le correctif a été publié et que les attaquants savent que cette vulnérabilité existe, ils vont la rechercher. Si vous avez une caméra / un NVR affecté(e) dont le service http(s) est directement exposé à Internet, Hikvision vous recommande vivement de patcher votre appareil immédiatement (recommandé) et d'utiliser une solution plus sécurisée, comme un VPN.

NOTE : Ce document traite du risque d'attaque Internet. Cela suppose que votre réseau interne est correctement segmenté et qu'un acteur malveillant n'a pas eu accès à votre réseau interne. Pour évaluer davantage les risques, déterminez si votre réseau interne est fiable et, si ce n'est pas le cas, prenez les mesures appropriées pour patcher et segmenter votre réseau de vidéosurveillance des autres parties de votre réseau interne.