Sono vani tutti i tentativi di mettere in sicurezza un determinato modello di telecamera, ossia stiamo parlando di Hikvision. Con mettere in sicurezza intendo cambiare le credenziali di default, un'operazione di buon senso molto comune fra gli amministratori che hanno un IQ superiore a 50. Purtroppo, se stai gestendo un dispositivo Hikvision, anche questa misura di sicurezza risulterà vana, e il tuo dispositivo sarà sfruttato (da ignoti) a qualsiasi scopo, eccetto che sorvegliare.
CVE-2017-7921 è un exploit che sfrutta una backdoor presente nativamente nei dispositivi Hikvision. Quest'exploit, sfrutterà questa backdoor per bypassare l'autenticazione (non importa se la tua password abbia 500 caratteri o sia quella di default), e ritengo sia degno da mettere in nota, dal momento che è anche facile da lanciare e ha un high success ratio.
Cosa succede esattamente una volta lanciato l'exploit?
Nella repository dell'utente che ha pubblicato il PoC, viene spiegato, in modo un po' generico, che i dispositivi Hikvision sono affetti da questo bug perché "non autenticano" correttamente l'user. Ma in uno dei link che la repository va a fornire, si viene rediretti a una pagina di Seclist.org, che spiega in modo più dettagliato, che la vulnerabilità è presente a causa di una backdoor presente nativamente nella telecamera (Seclist.org explanation)
Sfruttando la vulnerabilità, è possibile assumere il totale controllo del dispositivo infetto, si ottiene accesso ad ogni password salvata in esso, ai dati sull'hardware, ed è possibile (dal momento che si parla di una telecamera), spiare quello che succede intorno, o cambiare la password dell'amministratore. Da 1 a 10, io direi che il grado di severità è 11, dal momento che l'exploit è a prova di skiddie. Sinceramente, a parte la piaga degli skiddie, hanno fatto bene a rendere pubblica questa vulnerabilità: non è giusto infatti che in questi dispositivi sia presente una backdoor, e gli aquirenti non sappiano nulla. Ora non so se questa backdoor sia stata immessa volontariamente o per effetto di un bug, ma adesso lo sapete. In Italia, dai miei test, sono stati rivelati 3 dispositivi vulnerabili (ma forse ce ne sono di più). Ovviamente, non essendo un bamboccio, non mi sono messo a cambiare le password degli amministratori di questi dispositivi vulnerabili. Testando l'exploit, mi sono limitato a dare "un'occhiata" a ciò che accadeva là fuori: il primo dispositivo ritraeva il retro di un locale, il secondo un parceggio coperto, e il terzo l'interno di un negozio (catturando l'immagine di un commesso). Non saranno pubblicati ulteriori dettagli, per rispetto della privacy. La divulgazione verbale del contenuto degli scatti ha solo lo scopo di dimostrare l'impatto dell'exploit sulla privacy dell'user.
Fix all'exploit per gli amministratori "meno esperti":
Hai una vecchia telecamera Hikvision? Mettila via, e comprane una nuova (vai su un modello differente per sicurezza).
Fix per chi vuole incaponirsi sul risolvere la vulnerabilità, e mettere in sicurezza il proprio dispositivo Hikvision (scelta consigliata):
Bisogna aggiornare il firmware del dispositivo per risolvere il bug, e in questo manuale Hikvision, alla pagina 2 viene spiegato come fare: Hikvision Manual
Quest'altra pagina invece, mostra esattamente quali versioni del firmware sono vulnerabili, allegando inoltre i numeri di serie e le relative patch: Patch&Notes
Se sospetti di essere vulnerabile, o se semplicemente possiedi una telecamera Hikvision che non aggiorni da tempo, faresti bene ad aggiornare il suo firmware.
Il rischio, è più connesso al fatto che l'attaccante ha la facoltà di cambiare le credenziali, bloccando l'amministratore fuori dal pannello, più che al fatto che l'exploit permette di fare scatti all'ambiente. Anche il solo fatto di fare scatti può rappresentare un severo rischio per la privacy, diritto che la legge italiana tutela in modo sacrosanto. Ma di solito è difficile rendersi conto di un ignoto che ha prelevato uno scatto dalla propria telecamera, e ci si accorge che "qualcosa non va" solo quando le credenziali nel pannello vengono modificate, rendendo il prodotto inaccessibile. Le telecamere costano, non sono un gioco. Non farti lamerare.
CVE-2017-7921 è un exploit che sfrutta una backdoor presente nativamente nei dispositivi Hikvision. Quest'exploit, sfrutterà questa backdoor per bypassare l'autenticazione (non importa se la tua password abbia 500 caratteri o sia quella di default), e ritengo sia degno da mettere in nota, dal momento che è anche facile da lanciare e ha un high success ratio.
Cosa succede esattamente una volta lanciato l'exploit?
Nella repository dell'utente che ha pubblicato il PoC, viene spiegato, in modo un po' generico, che i dispositivi Hikvision sono affetti da questo bug perché "non autenticano" correttamente l'user. Ma in uno dei link che la repository va a fornire, si viene rediretti a una pagina di Seclist.org, che spiega in modo più dettagliato, che la vulnerabilità è presente a causa di una backdoor presente nativamente nella telecamera (Seclist.org explanation)
Sfruttando la vulnerabilità, è possibile assumere il totale controllo del dispositivo infetto, si ottiene accesso ad ogni password salvata in esso, ai dati sull'hardware, ed è possibile (dal momento che si parla di una telecamera), spiare quello che succede intorno, o cambiare la password dell'amministratore. Da 1 a 10, io direi che il grado di severità è 11, dal momento che l'exploit è a prova di skiddie. Sinceramente, a parte la piaga degli skiddie, hanno fatto bene a rendere pubblica questa vulnerabilità: non è giusto infatti che in questi dispositivi sia presente una backdoor, e gli aquirenti non sappiano nulla. Ora non so se questa backdoor sia stata immessa volontariamente o per effetto di un bug, ma adesso lo sapete. In Italia, dai miei test, sono stati rivelati 3 dispositivi vulnerabili (ma forse ce ne sono di più). Ovviamente, non essendo un bamboccio, non mi sono messo a cambiare le password degli amministratori di questi dispositivi vulnerabili. Testando l'exploit, mi sono limitato a dare "un'occhiata" a ciò che accadeva là fuori: il primo dispositivo ritraeva il retro di un locale, il secondo un parceggio coperto, e il terzo l'interno di un negozio (catturando l'immagine di un commesso). Non saranno pubblicati ulteriori dettagli, per rispetto della privacy. La divulgazione verbale del contenuto degli scatti ha solo lo scopo di dimostrare l'impatto dell'exploit sulla privacy dell'user.
Fix all'exploit per gli amministratori "meno esperti":
Hai una vecchia telecamera Hikvision? Mettila via, e comprane una nuova (vai su un modello differente per sicurezza).
Fix per chi vuole incaponirsi sul risolvere la vulnerabilità, e mettere in sicurezza il proprio dispositivo Hikvision (scelta consigliata):
Bisogna aggiornare il firmware del dispositivo per risolvere il bug, e in questo manuale Hikvision, alla pagina 2 viene spiegato come fare: Hikvision Manual
Quest'altra pagina invece, mostra esattamente quali versioni del firmware sono vulnerabili, allegando inoltre i numeri di serie e le relative patch: Patch&Notes
Se sospetti di essere vulnerabile, o se semplicemente possiedi una telecamera Hikvision che non aggiorni da tempo, faresti bene ad aggiornare il suo firmware.
Il rischio, è più connesso al fatto che l'attaccante ha la facoltà di cambiare le credenziali, bloccando l'amministratore fuori dal pannello, più che al fatto che l'exploit permette di fare scatti all'ambiente. Anche il solo fatto di fare scatti può rappresentare un severo rischio per la privacy, diritto che la legge italiana tutela in modo sacrosanto. Ma di solito è difficile rendersi conto di un ignoto che ha prelevato uno scatto dalla propria telecamera, e ci si accorge che "qualcosa non va" solo quando le credenziali nel pannello vengono modificate, rendendo il prodotto inaccessibile. Le telecamere costano, non sono un gioco. Non farti lamerare.
