viernes, 10 de noviembre de 2017

Dahua Backdoor

Dahua Backdoor

Dahua es el segundo fabricante mundial de dispositivos “Internet de las Cosas” ha enviado una actualización de software que cierra un agujero de seguridad en una amplia gama de sus productos, como son las cámaras de seguridad y grabadoras de vídeo digital (DVR)
La vulnerabilidad permite a cualquier persona evitar el proceso de inicio de sesión en estos dispositivos y obtener control remoto y directo sobre los sistemas vulnerables. El código está disponible en línea y permite a cualquier persona explotar este error y comandar un gran número de dispositivos IoT
El 5 de marzo, un investigador de seguridad llamado Bashis publicó el código de explotación en la lista de distribución de seguridad Full Disclosure un fallo de seguridad   vergonzosamente simple respecto a la forma en que muchas cámaras de seguridad y DVR de Dahua manejan la autenticación.
Bashis era de la opinión de que se trataba de un “backdoor” intencionado de Dahua, por lo que no ha notificado de manera previa al fabricante, y ha publicado directamente el código (proof of concept) que permite hacer uso de dicho backdoor. Con dicho código es posible añadir, renombrar y eliminar usuarios, así como cambiar las contraseñas de los usuarios existentes.
Dahua Backdoor Generation 2 & 3
Las cámaras de seguridad y los grabadoras de vídeo digital (DVR) están diseñados para ser controlados por un servidor Web local que es accesible a través de un navegador Web. El servidor requiere que el usuario ingrese un nombre de usuario y una contraseña, pero Bashis logró obligar a todos los dispositivos afectados a entregar sus nombres de usuario y un valor hash de la contraseña. Con esta información pudo efectivamente “pasar el hash” y el nombre de usuario correspondiente de nuevo al servidor Web y obtener acceso a la página de configuración del dispositivo. Desde allí, podía agregar usuarios e instalar o modificar el software del dispositivo.
“Esto es tan simple como:
1. Descargue remotamente la base de datos completa del usuario con todas las credenciales y permisos
2. Elija cualquier usuario admin, copie los nombres de inicio de sesión y hashes de contraseña
3. Utilizarlos como fuente para acceder de forma remota a los dispositivos Dahua
En un aviso publicado el 6 de marzo, Dahua dijo que ha identificado casi una docena de sus productos que son vulnerables, y que una revisión adicional puede revelar modelos adicionales que también tienen este defecto. Aquí están los modelos que se conoce que estarían afectados hasta ahora:
DH-IPC-HDW23A0RN-ZS
DH-IPC-HDBW23A0RN-ZS
DH-IPC-HDBW13A0SN
DH-IPC-HDW13A0SN
DH-IPC-HFW13A0SN-W
DH-IPC-HDBW13A0SN
DH-IPC-HDW13A0SN
DH-IPC-HFW13A0SN-W
DHI-HCVR51A04HE-S3
DHI-HCVR51A08HE-S3
DHI-HCVR58A32S-S2
La compañía insta a los usuarios a descargar e instalar las actualizaciones de firmware más recientes lo antes posible.
Dahua 20170306

No hay comentarios.:

Publicar un comentario