Πολλά προϊόντα ψηφιακής εγγραφής βίντεο της Hikvision βρέθηκαν να είναι ευάλωτα σε κενά ασφάλειας, γεγονός που θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να αποκτήσει τον πλήρη έλεγχο της συσκευής.
Αυτό το είδος του εξοπλισμού χρησιμοποιείται για επιτήρηση σε επαγγελματικά κτίρια και του περιβάλλοντα χώρου τους και σε ορισμένες περιπτώσεις, ακόμη και για επιτήρηση ιδιωτικών περιουσιών. Οι κάτοχοι των συσκευών αυτών έχουν απομακρυσμένη πρόσβαση και διαχειρίζονται τις συσκευές μέσω μιας web εφαρμογής η οποία είναι διαθέσιμη και για κινητές συσκευές.
Οι ερευνητές ασφάλειας από τη Rapid7 αφού εξέτασαν τα δεδομένα από το Project Sonar (κοινότητα για την ανάλυση του δημόσιου δικτύου), εντόπισαν τρεις ευπάθειες buffer overflow (CVE-2014-4878, CVE-2014-4879 και CVE-2014- 4880) στο RTSP (Real Time Streaming Protocol) request handling code της Hikvision.
Οι ερευνητές ανέλυσαν τα προϊόντα της σειράς DS-7200 και προσδιόρισαν ότι μπορούν να εκτεθούν σε κίνδυνο από κακόβουλο χρήστη ο οποίος μπορεί να εκμεταλλευτεί τις buffer- overflow ευπάθειες στο RTSP body, header and basic authentication handling. Το πρωτόκολλο αυτό προορίζεται για τον έλεγχο των streaming διακομιστών πολυμέσων μεταξύ των τερματικών.
Οι τεχνικές λεπτομέρειες των συγκεκριμένων ευπαθειών δημοσιεύτηκαν από τον Mark Schloesser της Rapid7 σε πρόσφατη ανάρτηση σε blog.
Σύμφωνα με τους ερευνητές, υπάρχουν περίπου 150.000 τέτοιες IPv4 συσκευές που μπορούν να ελεγχθούν απομακρυσμένα. Σε ορισμένες περιπτώσεις, ο εξοπλισμός προστατεύεται από το προεπιλεγμένο ζεύγος των διαπιστευτηρίων (admin: 12345) που ορίζεται από τον κατασκευαστή.
Η εκμετάλλευση της ευπάθειας στον βασικό έλεγχο ταυτότητας RTSP δεν απαιτεί την σύνδεση (login) του επιτιθέμενου, ενώ ένα Metasploit module δημοσιεύτηκε την Τετάρτη.
Φαίνεται ότι η Hikvision έχει έρθει σε επαφή με τους ερευνητές ασφαλείας για το συγκεκριμένο ζήτημα, αλλά καμία απάντηση δεν έχει δοθεί μέχρι στιγμής. Μέχρι την επιδιόρθωση του ζητήματος, οι χρήστες πρέπει να καταφύγουν σε συμπληρωματικά μέτρα ασφαλείας, όπως είναι η πρόσβαση στις συσκευές μέσω VPN. Είναι αυτονόητο ότι θα πρέπει ο χρήστες να αλλάξουν το συντομότερο δυνατόν τα προεπιλεγμένα διαπιστευτήρια (όνομα χρήστη και κωδικός πρόσβασης).
Σύμφωνα με το χρονοδιάγραμμα της Rapid7 για την αποκάλυψη των ευπαθειών, η Hikvision ενημερώθηκε για το ζήτημα στις 15 Σεπτεμβρίου 2014. Στις αρχές Οκτωβρίου, οι ερευνητές γνωστοποίησαν το θέμα στο CERT Coordination Center (CERT / CC) και λίγες μέρες αργότερα ανατέθηκαν CVE (Common Vulnerabilities and Exposures) αναγνωριστικά.
Η Rapid7 προειδοποιεί ότι οι ερευνητές του Ινστιτούτου SANS εντόπισαν φέτος ένα botnet που σχηματίζεται κατά ένα μεγάλο μέρος από DVR και routers και χρησιμοποιείται για εξόρυξη Bitcoin.
