Q: Apa itu Kerentanan Injeksi Perintah(Command Injection)?
A: Sebagaimana dinyatakan dalam Pemberitahuan Keamanan HSRC-202109-01 resmi Hikvision, Kerentanan Injeksi Perintah ditemukan di server web beberapa produk Hikvision. Karena validasi input yang tidak mencukupi, penyerang dapat mengeksploitasi kerentanan untuk meluncurkan serangan injeksi perintah dengan mengirimkan beberapa pesan dengan perintah berbahaya.
Q: Di mana saya bisa mendapatkan informasi lebih lanjut??
A: • Pemberitahuan Keamanan Hikvision. Perusahaan telah merilis Pemberitahuan Keamanan di situs web perusahaan pada tanggal 18 September dan diposting di akun media sosial pada tanggal 19 September.
• Laporan Pengungkapan peneliti keamanan
Q: Apakah ini pintu belakang pemerintah China??
A: Tidak. Bahkan peneliti menyatakan dalam pernyataan pengungkapannya, “Tidak, pasti TIDAK. Anda tidak akan melakukannya seperti ini. Dan tidak semua jenis firmware terpengaruh.”
Q: Apa yang telah dilakukan Hikvision untuk mengatasi kerentanan??
A: Hikvision mengikuti prinsip pengungkapan yang bertanggung jawab dan Proses Pengungkapan Kerentanan Terkoordinasi standar yang diterima secara luas di industri global dan berkaitan dengan mekanisme di mana kerentanan dibagikan dan diungkapkan dengan cara yang terkendali untuk melindungi pemilik dan pengguna akhir perangkat lunak dengan sebaik-baiknya.
Pada 23 Juni 2021, Hikvision dihubungi oleh peneliti keamanan bernama Watchful IP, yang melaporkan potensi kerentanan pada kamera Hikvision. Setelah kami mengonfirmasi penerimaan laporan ini, Hikvision bekerja langsung dengan peneliti untuk menambal dan memverifikasi keberhasilan mitigasi kerentanan yang dilaporkan.
Seperti yang dicatat oleh peneliti dalam laporan pengungkapannya bahwa dia “senang mengetahui bahwa masalah ini telah diperbaiki dengan cara yang direkomendasikan.”
Setelah perusahaan dan peneliti sama-sama memastikan bahwa kerentanan telah ditambal dengan benar oleh firmware yang diperbarui, kami merilis Pemberitahuan Keamanan di situs web dan media sosial perusahaan pada 19 September.
Q: Apa rekomendasi perusahaan mengenai 'port forwarding'?
A: Sebuah blog industri memasukkan informasi yang menyesatkan mengenai rekomendasi perusahaan tentang 'port forwarding' dalam posting terbarunya. Harap dicatat, menurut pedoman perusahaan "Tentang Port Forwarding", Hikvision memperingatkan pengguna akhirnya terhadap port forwarding, dan menyarankan bahwa "port forwarding hanya boleh dikonfigurasi bila benar-benar diperlukan."
Jika pengguna akhir secara tegas memilih untuk mengonfigurasi port forwarding untuk perangkat yang perlu diakses melalui Internet, Hikvision mendukung praktik terbaik keamanan siber berikut: (1) “minimalkan nomor port yang terpapar ke Internet”, (2) “hindari port umum dan konfigurasikan ulang ke port yang disesuaikan”; dan “aktifkan pemfilteran IP.”, 3)Tetapkan kata sandi yang kuat, dan (4) tingkatkan ke firmware perangkat terbaru yang dirilis oleh Hikvision tepat waktu.
Q: Bagaimana cara mengevaluasi risiko perangkat Hikvision saya?
A: Untuk mengeksploitasi kerentanan ini, penyerang harus berada di jaringan yang sama dengan perangkat yang rentan. Dengan kata lain, jika penyerang dapat melihat layar masuk dari perangkat yang rentan, mereka dapat menyerangnya. Jika mereka tidak dapat masuk ke layar masuk perangkat yang rentan, mereka tidak dapat mengeksploitasi kerentanan.
Untuk mengevaluasi tingkat risiko perangkat yang rentan, periksa apakah model yang terpengaruh mengekspos server http/https-nya (biasanya 80/443) langsung ke Internet (WAN), yang akan memberikan potensi penyerang kemampuan untuk menyerang perangkat tersebut dari Internet . Di bawah ini adalah beberapa contoh:
① LAN network tanpa akses Internet (resiko rendah)
Penyerang potensial tidak dapat mengakses server web perangkat dari Internet sehingga risikonya rendah (penyerang harus memiliki akses LAN untuk mengeksploitasi kerentanan ini, itulah yang kami maksud dengan risiko rendah)