Dahua社製カメラにリモートアクセスの脆弱性があることが判明

news

未パッチのDahuaカメラには2つの認証バイパスの脆弱性があり、今回公開された概念実証の脆弱性により、アップグレードを急いで行う必要があることがわかりました。

認証バイパスの脆弱性は、CVE-2021-33044とCVE-2021-33045として追跡されており、いずれもログインプロセス中に細工されたデータパケットをターゲットデバイスに送信することで、リモートから悪用される可能性があります。

CVE - CVE-2021-33044
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
CVE - CVE-2021-33045
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.

詳細については、GitHubに掲載されている、本日の全公開の一部である概念実証(PoC)を参照してください。

GitHub - mcw0/DahuaConsole: Dahua Console, access internal debug console and/or other researched functions in Dahua devices. Feel free to contribute in this project.
Dahua Console, access internal debug console and/or other researched functions in Dahua devices. Feel free to contribute in this project. - GitHub - mcw0/DahuaC...

Dahua社が脆弱なモデルの所有者にファームウェアのアップグレードを促すセキュリティ勧告を出してから1ヶ月経っていますが、これらのデバイスが最初のインストールやセットアップ後にどれだけ放置されているかを考えると、多くのデバイスがまだ古い脆弱なバージョンを実行している可能性があります。

Trust Center - Dahua International
Dahua fully recognizes the importance of cybersecurity. Here you can find the latest cybersecurity notices/announcements, how to report a vulnerability, and rec...

一部の Dahua 製品に、ログイン時に ID 認証をバイパスする脆弱性が発見されました。攻撃者は、悪意のあるデータパケットを送信することで、デバイスの ID 認証をバイパスすることができます。

影響を受けるモデルのリストは広範囲に及び、Dahuaカメラの多くをカバーし、一部のサーマルカメラも含まれています。

Shodanで検索したところ、世界中で120万台以上のDahuaシステムが見つかりました。

これらの機器のすべてが悪用されるわけではありませんが、影響を受けるモデルのリストには、広く導入されているものが含まれていることを明確にしておく必要があります。

Dahua Technologyは、中国の監視カメラベンダーが2019年10月に米国商務省の「Entity List」に追加されたため、米国内でのビジネスや製品販売が禁止されています。

しかし、国内ではまだ何万台ものDahua製カメラが活発に使用されており、その中にはあまり目立たないものもあるかもしれません。

The Interceptの最近の報告書が詳細に述べているように、アメリカ(Honeywellなど)やカナダのブランドでアメリカ国内で販売されているカメラの多くは、実際にはDahuaのハードウェアやソフトウェアさえも使用されているのです。

デバイスを保護する方法

Dahua社製カメラのファームウェアを最新版にアップグレードする以外にも、購入時に設定されていたパスワードをユニークで強力なものに変更する必要があります。ルートアクセスの認証を「admin」-「admin」にしておくと、やがてビデオが公開されてしまうことになります。

さらに、カメラがワイヤレスの場合はWPA2暗号化を有効にし、可能であればIoT用に独立した隔離されたネットワークを設定してください。

なお、カメラのモデルがクラウドに対応している場合は、Dahua社のダウンロードセンターに行かなくてもコントロールインターフェースから自動的に修正版のアップグレードを取得することができます。

2つの脆弱性が発見されたのは2021年6月13日だったため、ファームウェアのアップデートが出てすぐに適用した方でも、少なくとも2.5ヶ月間は認証されないアクセスに対して脆弱な状態にあるDahua製カメラもあったようです。

Comments

タイトルとURLをコピーしました