Ernstige lekken in ip-camera's Dahua en Hikvision ontdekt
In de ip-camera's en digitale videorecorders van de Chinese fabrikanten Dahua en Hikvision zijn ernstige beveiligingslekken ontdekt waardoor een aanvaller toegang tot de apparaten kan krijgen en vanwege de "grijze markt" kunnen niet alle eigenaren hun apparaten updaten.
Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid waarschuwt dat in het geval van de Dahua ip-camera's en digitale videorecorders het zeer eenvoudig is om de kwetsbaarheden vis internet aan te vallen en dat er al exploits beschikbaar zijn. De apparatuur blijkt een wachtwoordhash in plaats van een wachtwoord voor de authenticatie van gebruikers te gebruiken. Daardoor kan een aanvaller de authenticatie omzeilen zonder over het daadwerkelijke wachtwoord te beschikken.
Verder blijkt de apparatuur het wachtwoord in het configuratiebestand op te slaan. Een aanvaller kan zich zo voordoen als de beheerder en toegang tot gevoelige informatie krijgen. Dahua heeft nu voor 12 modellen ip-camera's en 3 modellen digitale videorecorders updates uitgebracht, die via de distributeur zijn te verkrijgen. Volgens het ICS-CERT wordt de apparatuur in allerlei vitale sectoren, overheidsgebouwen en transportsystemen gebruikt.
Hikvision
In het geval van Hikvision gaat het om twee problemen in zeven modellen ip-camera's. Ook deze apparaten blijken het wachtwoord in het configuratiebestand op te slaan. Daarnaast is er een probleem met de authenticatie, waardoor een aanvaller zijn rechten op het systeem kan verhogen en toegang tot gevoelige informatie kan krijgen. De kwetsbaarheden zijn op afstand en met weinig technische kennis aan te vallen. Er zijn echter nog geen exploits openbaar.
Ook Hikvision heeft updates beschikbaar gesteld om het probleem te verhelpen. De fabrikant waarschuwt dat er een "grijze markt" is waarbij camera's via ongeautoriseerde kanalen worden verkocht. Deze camera's maken vaak gebruik van ongeautoriseerde firmware die door partijen buiten Hikvision is ontwikkeld. In het geval van camera's die van de grijze markt afkomstig zijn kan het updaten van de firmware met de originele Hikvision-firmware het apparaat in de oorspronkelijke staat herstellen. Gebruikers van deze "grijze markt" camera's die vanwege de ongeautoriseerde firmware hun apparaat niet kunnen updaten blijven echter kwetsbaar voor aanvallen.
Er zijn van die camera's op het werk geinstalleerd (geinitieerd door facility buiten IT om) maar ik vind het
beneden peil wat de NVR van Hikvision presteert op het gebied van stabiliteit en beheergemak. En uiteraard,
daar weten ze IT wel voor te vinden dan want die handige jongens configureren de afkijk PC's wel even...
De NVR reboot 3-4 keer per dag (= crasht) en daar zie ik veel klachten over op internet maar oplossen homaar.
Please be aware that Hikvision products are region-specific and regionally supported. If you have purchased your Hikvision products from an online source or unauthorized distributor, they may not be compatible with the North American region’s firmware and are considered to be “gray market” product. If your camera has “CH” in the serial number, you are most likely using a “gray market” product. Updating the firmware from this site can lead to several complications in those cameras, up to and including camera failure. Restoring a “gray market” product to its original condition is a factory process and will result in a Chinese interface. As Hikvision warranty is void in this case, you must rely on the dealer for any service, support, and warranty of the “gray market” product. If you have any questions or concerns about the official status of your Hikvision distributor, please contact Hikvision USA Customer Service at csr.usa@hikvision.com.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.