Perguntas frequentes: Vulnerabilidade de injeção de comandos
P: O que é a vulnerabilidade de injeção de comandos?
R: Conforme indicado na Notificação de Segurança HSRC-202109-01 oficial da Hikvision, foi encontrada uma vulnerabilidade de injeção de comandos no servidor Web de alguns produtos Hikvision. Devido a uma validação de entrada insuficiente, um atacante pode potencialmente explorar a vulnerabilidade para lançar um ataque de injeção de comandos, enviando uma mensagem especialmente criada com comandos maliciosos.
P: Onde posso obter mais informações?
R: - Notificação de segurança Hikvision. A empresa publicou uma notificação de segurança no seu sítio Web em 18 de setembro e nas suas contas das redes sociais em 19 de setembro.
- Relatório de divulgação do investigador de segurança
P: Trata-se de uma porta traseira do governo chinês?
R: Não. A Hikvision não tem backdoors governamentais nos seus produtos. Watchful_IP, o investigador de segurança responsável pela comunicação desta vulnerabilidade à Hikvision, declarou, "Não, definitivamente NÃO. Não o farias assim. E nem todos os tipos de firmware são afectados".
P: O que é que a Hikvision fez para lidar com a vulnerabilidade?
R: A Hikvision segue os princípios de divulgação responsável e o processo padrão de divulgação coordenada de vulnerabilidades, que é amplamente aceite nas indústrias globais e diz respeito aos mecanismos pelos quais as vulnerabilidades são partilhadas e divulgadas de forma controlada para melhor proteger os proprietários e os utilizadores finais do software.
Em 23 de junho de 2021, a Hikvision foi contactada por um investigador de segurança, chamado Watchful IP, que comunicou uma potencial vulnerabilidade numa câmara Hikvision. Depois de confirmarmos a receção deste relatório, a Hikvision trabalhou diretamente com o investigador para corrigir e verificar a atenuação bem sucedida da vulnerabilidade comunicada.
Como o investigador referiu no seu relatório de divulgação, ficou "satisfeito por constatar que este problema foi resolvido da forma recomendada".
Depois de a empresa e o investigador terem assegurado que a vulnerabilidade tinha sido devidamente corrigida pelo firmware atualizado, divulgámos a Notificação de Segurança no sítio Web e nas redes sociais da empresa a 19 de setembro.
P: Qual é a recomendação da empresa relativamente ao "reencaminhamento de portas"?
R: Um blogue do sector incluiu a informação enganosa relativa à recomendação da empresa sobre "reencaminhamento de portas" no seu recente post. Tenha em atenção que, de acordo com as diretrizes da empresa "About Port Forwarding", a Hikvision adverte os seus utilizadores finais contra o reencaminhamento de portas e aconselha que "o reencaminhamento de portas só deve ser configurado quando for absolutamente necessário".
Nos casos em que os utilizadores finais optam afirmativamente por configurar o reencaminhamento de portas para dispositivos que precisam de ser acedidos através da Internet, a Hikvision apoia as seguintes práticas recomendadas de cibersegurança: (1) "minimizar os números de portas expostos à Internet", (2) "evitar portas comuns e reconfigurá-las para portas personalizadas"; e "ativar a filtragem de IP", (3) definir uma palavra-passe forte e (4) atualizar atempadamente para o firmware mais recente do dispositivo lançado pela Hikvision.
P: Como avaliar os riscos dos meus dispositivos Hikvision?
R: Para explorar esta vulnerabilidade, um atacante deve estar na mesma rede que o dispositivo vulnerável. Por outras palavras, se o atacante conseguir ver o ecrã de início de sessão de um dispositivo vulnerável, pode atacá-lo. Se não conseguirem aceder ao ecrã de início de sessão de um dispositivo vulnerável, não poderão explorar a vulnerabilidade.
Para avaliar o nível de risco de um dispositivo vulnerável, verifique se o modelo afetado expõe os seus servidores http/https (normalmente 80/443) diretamente à Internet (WAN), o que daria a um potencial atacante a capacidade de atacar esse dispositivo a partir da Internet. Seguem-se alguns exemplos:
① Rede LAN sem acesso à Internet (baixo risco)
Um potencial atacante não pode aceder ao servidor Web do dispositivo a partir da Internet, pelo que o risco é baixo (o atacante tem de ter acesso à LAN para explorar esta vulnerabilidade, é isso que queremos dizer com baixo risco)
② Rede WAN com dispositivo de bloqueio de firewall servidor http(s) (baixo risco)
Uma vez que o potencial atacante ainda não pode aceder à Web do dispositivo a partir da Internet, nesta situação o sistema ainda é considerado de baixo risco.
③ Hik-Connect & Hik-ProConnect (baixo risco)
HC e HPC são casos especiais do segundo cenário acima referido, o(s) http(s) não é(são) necessário(s) no serviço HC/HPC, pelo que será(ão) tão seguro(s) como habitualmente
④ Acesso VPN a partir da Internet (baixo risco)
A VPN (Virtual Private Network) permite que apenas os utilizadores verificados iniciem sessão e acedam aos dispositivos a partir da rede do local, pelo que é uma forma segura de aceder ao dispositivo e não é fácil de ser atacada
⑤ Reencaminhamento de portas (risco elevado)
O reencaminhamento de portas é uma forma fácil e barata de os utilizadores acederem remotamente a um dispositivo, no entanto, o reencaminhamento de portas acarreta riscos adicionais porque diz à firewall para não bloquear o tráfego para esse dispositivo a partir da Internet em determinadas portas. Assim, com a atual vulnerabilidade, desde que um potencial atacante tenha acesso a um dispositivo através das suas portas http(s) reencaminhadas, o dispositivo corre um risco elevado de ser atacado.
⑥ DDNS (risco elevado)
O DNS dinâmico (DDNS) também utiliza o reencaminhamento de portas, pelo que um potencial atacante pode continuar a ter acesso a um dispositivo a partir da Internet, colocando o dispositivo em risco elevado de ser atacado.
⑦ Acesso direto à WAN (risco elevado)
Alguns sítios instalam dispositivos diretamente na Internet (WAN). Desde que o dispositivo tenha um endereço IP aberto e as suas portas http(s) estejam expostas à Internet, o dispositivo corre um risco elevado de ser atacado.
Em suma, a forma mais fácil de avaliar o nível de risco do sistema é verificar se é possível aceder diretamente à página Web do dispositivo sem qualquer variação de rede adicional. Em caso afirmativo, o sistema deve ser considerado de alto risco.
Tanto quanto sabemos, não há nenhuma prova pública de conceito ou qualquer utilização maliciosa desta vulnerabilidade até à data. No entanto, agora que a correção foi lançada e os atacantes sabem que esta vulnerabilidade existe, vão procurá-la. Se tiver uma câmara/NVR afetada cujo serviço http(s) esteja diretamente exposto à Internet, a Hikvision recomenda vivamente que corrija o seu dispositivo imediatamente (recomendado) e que utilize uma solução mais segura, como uma VPN.
NOTA: O presente documento aborda o risco de ataque pela Internet. Pressupõe que a sua rede interna está devidamente segmentada e que um agente de ameaça não obteve acesso à sua rede interna. Para avaliar melhor o risco, determine se a sua rede interna é confiável e, se não for, tome as medidas adequadas para corrigir e segmentar a sua rede de vigilância por vídeo de outras partes da sua rede interna.
Este site usa cookies para armazenar informações em seu dispositivo. Os cookies ajudam nosso site a funcionar normalmente e nos mostram como podemos melhorar sua experiência de usuário.
Ao continuar a navegar na página, concorda com a nossa política de cookies e política de privacidad.
New Products
Seletor de produtos
Principais tecnologias
Hikvision License Activation
App Store Hikvision
