FAQs: Kerentanan Injeksi Perintah (Command Injection)

Q: Apa itu Kerentanan Injeksi Perintah(Command Injection)?

A: Sebagaimana dinyatakan dalam Pemberitahuan Keamanan HSRC-202109-01 resmi Hikvision, Kerentanan Injeksi Perintah ditemukan di server web beberapa produk Hikvision. Karena validasi input yang tidak mencukupi, penyerang dapat mengeksploitasi kerentanan untuk meluncurkan serangan injeksi perintah dengan mengirimkan beberapa pesan dengan perintah berbahaya.

Q: Di mana saya bisa mendapatkan informasi lebih lanjut??

A: • Pemberitahuan Keamanan Hikvision. Perusahaan telah merilis Pemberitahuan Keamanan di situs web perusahaan pada tanggal 18 September dan diposting di akun media sosial pada tanggal 19 September.

• Laporan Pengungkapan peneliti keamanan

Q: Apakah ini pintu belakang pemerintah China??

A: Tidak. Bahkan peneliti menyatakan dalam pernyataan pengungkapannya, “Tidak, pasti TIDAK. Anda tidak akan melakukannya seperti ini. Dan tidak semua jenis firmware terpengaruh.”

Q: Apa yang telah dilakukan Hikvision untuk mengatasi kerentanan??

A: Hikvision mengikuti prinsip pengungkapan yang bertanggung jawab dan Proses Pengungkapan Kerentanan Terkoordinasi standar yang diterima secara luas di industri global dan berkaitan dengan mekanisme di mana kerentanan dibagikan dan diungkapkan dengan cara yang terkendali untuk melindungi pemilik dan pengguna akhir perangkat lunak dengan sebaik-baiknya.

Pada 23 Juni 2021, Hikvision dihubungi oleh peneliti keamanan bernama Watchful IP, yang melaporkan potensi kerentanan pada kamera Hikvision. Setelah kami mengonfirmasi penerimaan laporan ini, Hikvision bekerja langsung dengan peneliti untuk menambal dan memverifikasi keberhasilan mitigasi kerentanan yang dilaporkan.

Seperti yang dicatat oleh peneliti dalam laporan pengungkapannya bahwa dia “senang mengetahui bahwa masalah ini telah diperbaiki dengan cara yang direkomendasikan.”

Setelah perusahaan dan peneliti sama-sama memastikan bahwa kerentanan telah ditambal dengan benar oleh firmware yang diperbarui, kami merilis Pemberitahuan Keamanan di situs web dan media sosial perusahaan pada 19 September.

Q: Apa rekomendasi perusahaan mengenai 'port forwarding'?

A: Sebuah blog industri memasukkan informasi yang menyesatkan mengenai rekomendasi perusahaan tentang 'port forwarding' dalam posting terbarunya. Harap dicatat, menurut pedoman perusahaan "Tentang Port Forwarding", Hikvision memperingatkan pengguna akhirnya terhadap port forwarding, dan menyarankan bahwa "port forwarding hanya boleh dikonfigurasi bila benar-benar diperlukan."

Jika pengguna akhir secara tegas memilih untuk mengonfigurasi port forwarding untuk perangkat yang perlu diakses melalui Internet, Hikvision mendukung praktik terbaik keamanan siber berikut: (1) “minimalkan nomor port yang terpapar ke Internet”, (2) “hindari port umum dan konfigurasikan ulang ke port yang disesuaikan”; dan “aktifkan pemfilteran IP.”, 3）Tetapkan kata sandi yang kuat, dan (4) tingkatkan ke firmware perangkat terbaru yang dirilis oleh Hikvision tepat waktu.

Q: Bagaimana cara mengevaluasi risiko perangkat Hikvision saya?

A: Untuk mengeksploitasi kerentanan ini, penyerang harus berada di jaringan yang sama dengan perangkat yang rentan. Dengan kata lain, jika penyerang dapat melihat layar masuk dari perangkat yang rentan, mereka dapat menyerangnya. Jika mereka tidak dapat masuk ke layar masuk perangkat yang rentan, mereka tidak dapat mengeksploitasi kerentanan.

Untuk mengevaluasi tingkat risiko perangkat yang rentan, periksa apakah model yang terpengaruh mengekspos server http/https-nya (biasanya 80/443) langsung ke Internet (WAN), yang akan memberikan potensi penyerang kemampuan untuk menyerang perangkat tersebut dari Internet . Di bawah ini adalah beberapa contoh:

① LAN network tanpa akses Internet (resiko rendah)

Penyerang potensial tidak dapat mengakses server web perangkat dari Internet sehingga risikonya rendah (penyerang harus memiliki akses LAN untuk mengeksploitasi kerentanan ini, itulah yang kami maksud dengan risiko rendah)

② Jaringan WAN dengan perangkat pemblokir firewall http (s) server (risiko rendah)

Karena penyerang potensial masih tidak dapat mengakses halaman web perangkat dari internet, sistem ini dianggap berisiko rendah.

③ Hik-Connect & Hik-ProConnect (risiko rendah)

Hik-Connect dan Hik-ProConnect adalah kasus khusus dalam skenario kedua di atas. Server http(s) tidak diperlukan dalam layanan mereka sehingga mereka akan seaman biasanya.

④ Akses VPN dari internet (risiko rendah)

VPN (Virtual Private Network) hanya mengizinkan pengguna terverifikasi untuk masuk dan mengakses perangkat dari jaringan situs, jadi ini adalah cara yang aman untuk mengakses perangkat dan tidak mudah diserang.

⑤ Penerusan port (Risiko Tinggi)

Penerusan port adalah cara yang mudah dan murah bagi pengguna untuk mengakses perangkat situs dari jarak jauh. Namun ini membawa risiko tambahan karena akan membuat koneksi terbuka ke internet, dengan kerentanan ini, akan ada 'saluran masuk' bagi penyerang potensial untuk memanfaatkan dan sistem akan memiliki risiko tinggi diserang.

⑥ DDNS (Risiko Tinggi)

DDNS adalah kasus khusus port forwarding, karena ini hanya metode pengalihan untuk mendapatkan akses ke perangkat tanpa verifikasi. Dalam hal ini, penyerang potensial masih dapat memiliki akses ke IP/domain perangkat melalui Internet, menempatkan sistem di bawah risiko yang lebih tinggi.

⑦ Akses WAN Langsung (Risiko Tinggi)

Beberapa situs menginstal perangkat langsung ke internet (melalui WAN). Selama mereka memiliki alamat IP publik dan port http yang dapat diakses yang terhubung ke internet, seluruh sistem akan berisiko tinggi.

Kesimpulan singkatnya, cara termudah untuk mengevaluasi tingkat risiko sistem adalah dengan memeriksa apakah Anda dapat mengakses halaman web perangkat dari internet (WAN) secara langsung tanpa verifikasi jaringan tambahan. Jika ya, sistem dapat ditentukan 'berisiko tinggi'

Sejauh yang kami tahu, saat ini tidak ada program publik untuk mengeksploitasi kerentanan ini. Namun, sekarang patch telah dirilis dan penyerang mengetahui bahwa kerentanan ini ada, mereka akan mencarinya. Jika Anda memiliki kamera/NVR yang terpengaruh yang layanan http-nya langsung terhubung ke Internet, Hikvision sangat menyarankan agar Anda segera mengupgrade perangkat Anda ke versi terbaru yang telah diperbaiki kerentanannya atau menggunakan solusi yang lebih aman, seperti VPN.

NOTE: Dokumen ini membahas risiko serangan Internet. Ini mengasumsikan bahwa jaringan internal Anda tersegmentasi dengan benar dan bahwa aktor ancaman belum mendapatkan akses ke jaringan internal Anda. Untuk menilai risiko lebih lanjut, tentukan apakah jaringan internal Anda tepercaya dan jika tidak, ambil tindakan yang tepat untuk menambal dan mengelompokkan jaringan pengawasan video Anda dari bagian lain jaringan internal Anda.