Întrebări frecvente: Vulnerabilitate în introducerea comenzilor

Î: Ce înseamnă vulnerabiliate în introducerea comenzilor?

R: După cum se menționează în Notificarea de securitate oficială Hikvision HSRC-202109-01, a fost găsită o vulnerabilitate în introducerea comenzilorpentru anumite produse. Din cauza unei validări insuficiente de intrare, un hacker ar putea exploata vulnerabilitatea pentru a lansa un atac la introducerea comenzilor, prin trimiterea unui mesaj special conceput, astfel încât să provoace rău în mod intenționat.

Î: Unde pot obține mai multe informații?

R: • Hikvision Security Notification. Compania a lansat o notificare de securitate pe site-ul companiei în data de 18 septembrie și a postat pe rețelele sociale în data de 19 septembrie.

• Security Researcher Disclosure Report

Î: Este aceasta un backdoor (ușă din spate) a guvernului chinez?

R: Nu. Hikvision nu deține backdoors guvernamentale în interiorul produselor. Watchful_IP, cercetătorul de securitate responsabil de raportarea aceste vulnerabilități către Hikvision, a comunicat: “Nu, cu siguranță NU. Nu aceasta este abordarea voastră. Mai mult, nu toate tipurile de firmware sunt afectate.”

Î: Ce măsuri a luat Hikvision pentru a face față vulnerabilității?

R: Hikvision urmează principiile de dezvăluire responsabilă și procesul standard de divulgare a vulnerabilităților coordonate, care este larg acceptat în industriile globale și se referă la mecanismele prin care vulnerabilitățile sunt partajate și dezvăluite într-un mod controlat pentru a proteja cât mai bine proprietarii și utilizatorii finali de software.

Pe 23 iunie 2021, Hikvision a fost contactată de cercetătorul de securitate Watchful IP, care a raportat o potențială vulnerabilitate într-o cameră Hikvision. Odată ce am confirmat primirea acestui raport, Hikvision a lucrat direct cu cercetătorul pentru a verifica și corecta vulnerabilitatea raportată.

Cercetătorul a evidențiat în raportul său de dezvăluire, faptul că a fost „încântat să constate că această problemă a fost rezolvată în modul recomandat”.

În momentul în care atât compania (Hikvision), cât și cercetătorul (Watchfull IP) s-au asigurat că vulnerabilitatea a fost corectată, iar firmware-ul actualizat este ce trebuie, a fost lansată notificarea de securitate pe site-ul companiei, dar și pe rețelele sociale în data de 19 septembrie.

Î: Care este recomandarea companiei în ceea ce privește ‘port forwarding’ (transmiterea portului)?

R: Un blog din industrie a inclus informații înșelătoare cu privire la recomandarea companiei privind ‘port forwarding’ (transmiterea portului) într-una din postările sale recente. Conform “Despre Port Forwarding”, Hikvision își avertizează utilizatorii finali să nu apeleze la port forwarding, decât dacă este nepărat necesar.

În cazul în care utilizatorii finali aleg în mod afirmativ să configureze redirecționarea portului pentru dispozitivele care trebuie accesate prin Internet, Hikvision acceptă următoarele practici de securitate cibernetică: (1) „minimizați numărului de porturi expuse la Internet”, (2) „evitarea porturilor comune și reconfigurarea porturilor personalizate”; și „activrea filtrelor IP”. (3) Setarea unei parole puternice și (4) efectuarea unui upgrade la cel mai recent firmware al dispozitivului lansat de Hikvision în timp util.

Î: Cum pot evalua riscurile la care sunt supuse dispozitivele Hikvision pe care le dețin?

R: Pentru a exploata această vulnerabilitate, un hacker trebuie să fie în aceeași rețea cu dispozitivul vulnerabil. Cu alte cuvinte, dacă hacker-ul poate vedea ecranul de conectare al unui dispozitiv vulnerabil, l-ar putea ataca. Dacă nu pot ajunge la ecranul de conectare al unui dispozitiv vulnerabil, nu pot exploata vulnerabilitatea.

Pentru a evalua nivelul de risc al unui dispozitiv vulnerabil, verificați dacă modelul afectat își expune serverele http/https (de obicei 80/443) direct la Internet (WAN), ceea ce ar oferi unui potențial atacator capacitatea de a ataca acel dispozitiv de pe Internet. Mai jos sunt câteva exemple:

① Rețea LAN fără acces la internet (risc scăzut)

Un potențial atacator nu poate accesa serverul web al dispozitivului de pe Internet, așa că riscul este scăzut (atacatorul trebuie să aibă acces LAN pentru a exploata această vulnerabilitate, la asta ne referim prin risc scăzut)

② WAN network with firewall blocking device http(s) server (low risk)

Since the potential attacker still cannot access device web from Internet，in this situation the system is still considered low risk

③ Hik-Connect & Hik-ProConnect (low risk)

HC and HPC are special cases of the above second scenario, http(s) is not needed in HC/HPC service so it will be as safe as usual

④ VPN access from Internet (low risk)

VPN (Virtual Private Network) allows only verified users to login and access devices from site network, so it’s a secured way to access device and not easy to be attacked

⑤ Port forwarding (High Risk)

Port forwarding is an easy and inexpensive way for users to remotely access a device, however port forwarding brings additional risks because it tells the firewall not to block traffic to that device from the Internet on certain ports. Therefore, with the current vulnerability, as long as a potential attacker has access to a device through its forwarded http(s) ports, the device is at high risk of being attacked.

⑥ DDNS (High Risk)

Dynamic DNS (DDNS) also uses port forwarding so a potential attacker could still have access to a device from the Internet, putting the device at high risk of being attacked.

⑦ Direct WAN Access (High Risk)

Some sites install devices directly to Internet (WAN). As long as the device has an open IP address and its http(s) ports are exposed to Internet, the device is at high risk of being attacked.

In brief conclusion, the easiest way to evaluate system risk level is to check if you can access device webpage directly without any extra network variation. If yes, the system should be considered at high risk.

As far as we know, there’s no public proof of concept or any malicious use of this vulnerability to date. However, now that the patch has been released and attackers know that this vulnerability exists, they will be searching for it. If you have an affected camera/NVR whose http(s) service is directly exposed to the Internet, Hikvision highly recommends you to patch your device immediately (recommended), and using a more secure solution, like a VPN.

NOTE: This document addresses the risk of Internet attack. It assumes that your internal network is properly segmented and that a threat actor has not gained access to your internal network. To further assess risk, determine if your internal network is trusted and if not, take the proper measures to patch and segment your video surveillance network from other parts of your internal network.