Perguntas frequentes: Vulnerabilidade de injeção de comando

P: Qual é a vulnerabilidade de injeção de comando?

R: Conforme declarado na Notificação de Segurança HSRC-202109-01 oficial da Hikvision, uma Vulnerabilidade de injeção de comando foi encontrada no servidor da web de alguns produtos da Hikvision. Devido a uma validação de entrada insuficiente, um invasor pode explorar potencialmente a vulnerabilidade para iniciar um ataque de injeção de comando, enviando uma mensagem especialmente criada com comandos mal-intencionados.

P: Onde posso obter mais informações?

R: • Notificação de segurança Hikvision. A empresa lançou uma Notificação de Segurança no site da empresa em 18 de setembro e postou em contas de mídia social em 19 de setembro.

• Relatório de divulgação do pesquisador de segurança

P: Esta é a porta dos fundos do governo chinês?

R: Não. O Hikvision não possui backdoors do governo em nossos produtos. Watchful_IP, o pesquisador de segurança que relatou responsavelmente essa vulnerabilidade ao Hikvision, declarou: “Não, definitivamente NÃO. Você não faria assim. E nem todos os tipos de firmware são afetados. ”

P: O que Hikvision fez para lidar com a vulnerabilidade?

R: O Hikvision segue princípios de divulgação responsável e o Processo de divulgação de vulnerabilidade coordenado que é amplamente aceito em indústrias globais e se refere aos mecanismos pelos quais as vulnerabilidades são compartilhadas e divulgadas de forma controlada para melhor proteger os proprietários e usuários finais do software.

Em 23 de junho de 2021, Hikvision foi contatado por um pesquisador de segurança, chamado Watchful IP, que relatou uma vulnerabilidade potencial em uma câmera Hikvision. Depois de confirmar o recebimento deste relatório, Hikvision trabalhou diretamente com o pesquisador para corrigir e verificar a mitigação bem-sucedida da vulnerabilidade relatada.

Como o pesquisador observou em seu relatório de divulgação, ele ficou “satisfeito em notar que este problema foi corrigido da maneira recomendada”.

Depois que a empresa e o pesquisador garantiram que a vulnerabilidade foi corrigida corretamente pelo firmware atualizado, lançamos a Notificação de segurança no site da empresa e nas redes sociais em 19 de setembro.

P: Qual é a recomendação da empresa em relação ao 'encaminhamento de porta'?

R: Um blog do setor incluiu informações enganosas sobre a recomendação da empresa sobre 'encaminhamento de porta' em sua postagem recente. Observe que, de acordo com a diretriz da empresa "Sobre o encaminhamento de porta", a Hikvision alerta seus usuários finais contra o encaminhamento de porta e informa que "o encaminhamento de porta só deve ser configurado quando for absolutamente necessário".

Onde os usuários finais optam afirmativamente por configurar o encaminhamento de porta para dispositivos que precisam ser acessados pela Internet, o Hikvision oferece suporte às seguintes práticas recomendadas de segurança cibernética: (1) "minimizar os números de porta expostos à Internet", (2) "evitar portas comuns e reconfigure-os para portas personalizadas ”; e “habilite a filtragem de IP.”, (3) Defina uma senha forte e (4) atualize para o firmware de dispositivo mais recente lançado pela Hikvision em tempo hábil.

P: Como avaliar os riscos de meus dispositivos Hikvision?

R: Para explorar esta vulnerabilidade, um invasor deve estar na mesma rede que o dispositivo vulnerável. Em outras palavras, se o invasor conseguir visualizar a tela de login de um dispositivo vulnerável, ele poderá atacá-lo. Se eles não conseguirem acessar a tela de login de um dispositivo vulnerável, eles não serão capazes de explorar a vulnerabilidade.

Para avaliar o nível de risco de um dispositivo vulnerável, verifique se o modelo afetado expõe seus servidores http / https (normalmente 80/443) diretamente à Internet (WAN), o que daria a um invasor potencial a capacidade de atacar esse dispositivo pela Internet . Abaixo estão alguns exemplos:

① Rede LAN sem acesso à Internet (baixo risco)

Um potencial invasor não pode acessar o servidor da web do dispositivo a partir da Internet, então o risco é baixo (o invasor deve ter acesso à LAN para explorar esta vulnerabilidade, é isso que queremos dizer com baixo risco)

② Rede WAN com servidor http (s) de dispositivo de bloqueio de firewall (baixo risco)

Uma vez que o invasor potencial ainda não pode acessar a web do dispositivo a partir da Internet, nesta situação o sistema ainda é considerado de baixo risco

③ Hik-Connect e Hik-ProConnect (baixo risco)

HC e HPC são casos especiais do segundo cenário acima, http (s) não é necessário no serviço HC / HPC, então será tão seguro como de costume

④ Acesso VPN da Internet (baixo risco)

VPN (Virtual Private Network) permite que apenas usuários verificados façam login e acessem dispositivos da rede local, por isso é uma maneira segura de acessar o dispositivo e não é fácil de ser atacado

⑤ Encaminhamento de porta (alto risco)

O encaminhamento de porta é uma maneira fácil e barata para os usuários acessarem remotamente um dispositivo, no entanto, o encaminhamento de porta traz riscos adicionais porque diz ao firewall para não bloquear o tráfego da Internet para esse dispositivo em certas portas. Portanto, com a vulnerabilidade atual, desde que um invasor em potencial tenha acesso a um dispositivo por meio de suas portas http (s) encaminhadas, o dispositivo corre alto risco de ser atacado.

⑥ DDNS (alto risco)

O DNS dinâmico (DDNS) também usa o encaminhamento de porta para que um invasor potencial ainda possa ter acesso a um dispositivo da Internet, colocando o dispositivo em alto risco de ser atacado.

⑦ Acesso WAN direto (alto risco)

Alguns sites instalam dispositivos diretamente na Internet (WAN). Contanto que o dispositivo tenha um endereço IP aberto e suas portas http (s) estejam expostas à Internet, o dispositivo corre alto risco de ser atacado.

Em breve conclusão, a maneira mais fácil de avaliar o nível de risco do sistema é verificar se você pode acessar a página da Web do dispositivo diretamente, sem qualquer variação de rede extra. Se sim, o sistema deve ser considerado de alto risco.

Até onde sabemos, não há prova pública de conceito ou qualquer uso malicioso desta vulnerabilidade até o momento. No entanto, agora que o patch foi lançado e os invasores sabem que essa vulnerabilidade existe, eles a procurarão. Se você tiver uma câmera / NVR afetado cujo (s) serviço (s) http (s) esteja (ão) diretamente exposto (s) à Internet, a Hikvision recomenda que você aplique o patch em seu dispositivo imediatamente (recomendado) e use uma solução mais segura, como uma VPN.

NOTA: Este documento aborda o risco de ataque pela Internet. Ele pressupõe que sua rede interna está segmentada corretamente e que um agente da ameaça não obteve acesso à sua rede interna. Para avaliar ainda mais o risco, determine se sua rede interna é confiável e, caso contrário, tome as medidas adequadas para corrigir e segmentar sua rede de vigilância por vídeo de outras partes de sua rede interna.