Dahua’nın Açık Ağ Video Arayüzü Forumu (ONVIF) standart uygulamasında, istismar edildiğinde IP kameraların kontrolünün ele geçirilmesine yol açabilecek bir güvenlik açığı hakkında ayrıntılar paylaşıldı.
Nozomi Networks, CVE-2022-30563 (CVSS puanı: 7.4) olarak izlenen “güvenlik açığı, saldırganlar tarafından önceki şifrelenmemiş ONVIF etkileşimini koklayarak ve kameraya yönelik yeni bir istekte kimlik bilgilerini yeniden oynatarak ağ kameralarını tehlikeye atmak için kötüye kullanabilir” dedi. Perşembe raporu.
28 Haziran 2022’de yayınlanan bir yamada ele alınan sorun şu ürünleri etkiliyor:
- Dahua ASI7XXX: v1.000.0000009.0.R.220620’den önceki sürümler
- Dahua IPC-HDBW2XXX: v2.820.0000000.48.R.220614’ten önceki sürümler
- Dahua IPC-HX2XXX: v2.820.0000000.48.R.220614’ten önceki sürümler
ONVIF, video gözetim kameraları ve erişim kontrol sistemleri gibi IP tabanlı fiziksel güvenlik ürünlerinin satıcıdan bağımsız bir şekilde birbirleriyle nasıl iletişim kurabileceğine ilişkin açık bir standardın geliştirilmesini ve kullanımını yönetir.
Nozomi Networks tarafından tanımlanan hata, Çinli firma Dahua tarafından geliştirilen belirli IP kameralarda uygulanan “WS-UsernameToken” kimlik doğrulama mekanizmasında bulunur ve saldırganların kimlik bilgilerini yeniden oynatarak kameraları tehlikeye atmasına olanak tanır.
Başka bir deyişle, kusurun başarılı bir şekilde kullanılması, bir saldırganın gizlice kötü niyetli bir yönetici hesabı eklemesine ve canlı kamera yayınlarını izlemek de dahil olmak üzere en yüksek ayrıcalıklara sahip etkilenen bir cihaza sınırsız erişim elde etmek için bu hesabı istismar etmesine izin verebilir.
Bir tehdit aktörünün bu saldırıyı gerçekleştirmesi için gereken tek şey, WS-UsernameToken şemasıyla kimliği doğrulanmış, şifrelenmemiş bir ONVIF isteğini yakalayabilmektir; bu, daha sonra, aygıtı yönetici hesabı oluşturması için kandırmak için aynı kimlik doğrulama verileriyle sahte bir istek göndermek için kullanılır. .
Bu açıklama, Reolink, ThroughTek, Annke ve Axis cihazlarındaki benzer kusurların keşfini takip ederek, kritik altyapı tesislerinde konuşlandırılmaları durumunda IoT güvenlik kamera sistemlerinin oluşturduğu potansiyel risklerin altını çiziyor.
Araştırmacılar, “Tehdit aktörleri, özellikle ulus devlet tehdit grupları, hedef şirketin ekipmanı veya üretim süreçleri hakkında bilgi toplamaya yardımcı olmak için IP kameraları hacklemekle ilgilenebilirler” dedi.
“Bu bilgi, bir siber saldırı başlatmadan önce yürütülen keşiflere yardımcı olabilir. Hedef ortam hakkında daha fazla bilgi sahibi olan tehdit aktörleri, kritik altyapıdaki üretim süreçlerini fiziksel olarak bozabilecek özel saldırılar oluşturabilir.”
İlgili bir gelişmede, NCC Group’tan araştırmacılar, Nuki akıllı kilit ürünlerini etkileyen ve rastgele kod yürütme ve açık kapılar elde etmek veya bir hizmet reddi (DoS) durumuna neden olmak için silah olarak kullanılabilecek 11 güvenlik açığı belgelediler.
Ayrıca, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından bu hafta yayınlanan ve donanım yazılımı sürüm 2.10 çalıştıran MOXA NPort 5110 sunucularındaki iki ciddi güvenlik açığı konusunda uyarı veren bir endüstriyel kontrol sistemi (ICS) tavsiyesi de dikkate değerdir.
Ajans, “Bu güvenlik açıklarından başarılı bir şekilde yararlanılması, bir saldırganın bellek değerlerini değiştirmesine ve/veya cihazın yanıt vermemesine neden olabilir” dedi.