Discussione La tua telecamera è al al sicuro? No.

Access Denied

Utente Emerald
17 Gennaio 2022
325
88
216
467
Sono vani tutti i tentativi di mettere in sicurezza un determinato modello di telecamera, ossia stiamo parlando di Hikvision. Con mettere in sicurezza intendo cambiare le credenziali di default, un'operazione di buon senso molto comune fra gli amministratori che hanno un IQ superiore a 50. Purtroppo, se stai gestendo un dispositivo Hikvision, anche questa misura di sicurezza risulterà vana, e il tuo dispositivo sarà sfruttato (da ignoti) a qualsiasi scopo, eccetto che sorvegliare.

CVE-2017-7921 è un exploit che sfrutta una backdoor presente nativamente nei dispositivi Hikvision. Quest'exploit, sfrutterà questa backdoor per bypassare l'autenticazione (non importa se la tua password abbia 500 caratteri o sia quella di default), e ritengo sia degno da mettere in nota, dal momento che è anche facile da lanciare e ha un high success ratio.

Cosa succede esattamente una volta lanciato l'exploit?
Nella repository dell'utente che ha pubblicato il PoC, viene spiegato, in modo un po' generico, che i dispositivi Hikvision sono affetti da questo bug perché "non autenticano" correttamente l'user. Ma in uno dei link che la repository va a fornire, si viene rediretti a una pagina di Seclist.org, che spiega in modo più dettagliato, che la vulnerabilità è presente a causa di una backdoor presente nativamente nella telecamera (Seclist.org explanation)

Sfruttando la vulnerabilità, è possibile assumere il totale controllo del dispositivo infetto, si ottiene accesso ad ogni password salvata in esso, ai dati sull'hardware, ed è possibile (dal momento che si parla di una telecamera), spiare quello che succede intorno, o cambiare la password dell'amministratore. Da 1 a 10, io direi che il grado di severità è 11, dal momento che l'exploit è a prova di skiddie. Sinceramente, a parte la piaga degli skiddie, hanno fatto bene a rendere pubblica questa vulnerabilità: non è giusto infatti che in questi dispositivi sia presente una backdoor, e gli aquirenti non sappiano nulla. Ora non so se questa backdoor sia stata immessa volontariamente o per effetto di un bug, ma adesso lo sapete. In Italia, dai miei test, sono stati rivelati 3 dispositivi vulnerabili (ma forse ce ne sono di più). Ovviamente, non essendo un bamboccio, non mi sono messo a cambiare le password degli amministratori di questi dispositivi vulnerabili. Testando l'exploit, mi sono limitato a dare "un'occhiata" a ciò che accadeva là fuori: il primo dispositivo ritraeva il retro di un locale, il secondo un parceggio coperto, e il terzo l'interno di un negozio (catturando l'immagine di un commesso). Non saranno pubblicati ulteriori dettagli, per rispetto della privacy. La divulgazione verbale del contenuto degli scatti ha solo lo scopo di dimostrare l'impatto dell'exploit sulla privacy dell'user.

Fix all'exploit per gli amministratori "meno esperti":
Hai una vecchia telecamera Hikvision? Mettila via, e comprane una nuova (vai su un modello differente per sicurezza).

Fix per chi vuole incaponirsi sul risolvere la vulnerabilità, e mettere in sicurezza il proprio dispositivo Hikvision (scelta consigliata):
Bisogna aggiornare il firmware del dispositivo per risolvere il bug, e in questo manuale Hikvision, alla pagina 2 viene spiegato come fare: Hikvision Manual
Quest'altra pagina invece, mostra esattamente quali versioni del firmware sono vulnerabili, allegando inoltre i numeri di serie e le relative patch: Patch&Notes
Se sospetti di essere vulnerabile, o se semplicemente possiedi una telecamera Hikvision che non aggiorni da tempo, faresti bene ad aggiornare il suo firmware.

Il rischio, è più connesso al fatto che l'attaccante ha la facoltà di cambiare le credenziali, bloccando l'amministratore fuori dal pannello, più che al fatto che l'exploit permette di fare scatti all'ambiente. Anche il solo fatto di fare scatti può rappresentare un severo rischio per la privacy, diritto che la legge italiana tutela in modo sacrosanto. Ma di solito è difficile rendersi conto di un ignoto che ha prelevato uno scatto dalla propria telecamera, e ci si accorge che "qualcosa non va" solo quando le credenziali nel pannello vengono modificate, rendendo il prodotto inaccessibile. Le telecamere costano, non sono un gioco. Non farti lamerare.
 

0xbro

Super Moderatore
24 Febbraio 2017
4,222
166
3,292
1,645
Molto interessante!
Tempo fa facendo un assessment delle telecamere di sicurezza utilizzate da un nostro cliente abbiamo trovato dei comportamenti simili anche sulle Dahua e su altre IP-camera di stampo cinese.

Le Dahua sono abbastanza comuni come telecamere, e sono PIENE di backdoor: ogni modello ne ha una versione diversa:

Giusto per citare anche alcune controversie in merito:
Nel settembre 2016, il più grande attacco DDoS fino ad oggi, su KrebsOnSecurity.com di Brian Krebs, venne ricondotto a una botnet. Secondo l'Internet service provider Level 3 Communications, i dispositivi più comunemente infetti in questa botnet furono telecamere OEM e DVR Dahua.[7][8][9] Quasi un milione di dispositivi Dahua vennero infettati dal malware BASHLITE.[7][10][11] Una vulnerabilità nella maggior parte delle telecamere di Dahua permise "a chiunque di assumere il pieno controllo del sistema operativo Linux sottostante dei dispositivi semplicemente digitando un nome utente casuale con troppi caratteri".[7]

Nel marzo 2017 una backdoor in molte telecamere e DVR Dahua venne scoperta da ricercatori di sicurezza che lavoravano per un'azienda Fortune 500.[12] La vulnerabilità venne attivata su telecamere all'interno della rete della società Fortune 500 e i dati vennero trasferiti in Cina attraverso il firewall dell'azienda.[13] Utilizzando un browser web, la vulnerabilità consentì a persone non autorizzate di scaricare da remoto il database di nomi utente e password di un dispositivo e successivamente di accedervi.[14][15] Dahua rilasciò un aggiornamento del firmware per correggere la vulnerabilità in 11 dei suoi prodotti.[16] I ricercatori di sicurezza scoprirono che il firmware aggiornato conteneva la stessa vulnerabilità ma che la vulnerabilità era stata ricollocata in una parte diversa del codice. Ciò venne descritto dai ricercatori di sicurezza come un inganno deliberato.[13]

Dahua ha svolto un ruolo nella sorveglianza di massa degli uiguri nello Xinjiang.[17][18] Nell'ottobre 2019, il governo degli Stati Uniti inserì Dahua nella lista nera Entity List del Bureau of Industry and Security per il suo ruolo nella sorveglianza degli uiguri nello Xinjiang e di altre minoranze etniche e religiose in Cina.[19][20] Nel novembre 2020, dopo che i ricercatori di sicurezza hanno identificato il codice del software di identificazione facciale con delle designazioni in base all'etnia, Dahua ha rimosso il codice in questione da GitHub.[21]


- https://it.wikipedia.org/wiki/Dahua_Technology

Insomma, sono d'accordo con te, credo proprio che una buona fetta di IP-camera di stampo cinese (ma non solo) siano l'esatto opposto della definizione di sicurezza e privacy. L'unica cosa per cui possono tornare utile è farci sopra un po' di test e di ricerca in autonomia come allenamento.

Ho proprio una IP camera qua vicino a me (spenta, ovviamente eh eh) che non vedo l'ora di analizzare 😈
 
  • Mi piace
  • Incredibile
Reazioni: haxo e 0xGhost