Un nuevo informe del gobierno de Lituania encontró cerca de 100 vulnerabilidades en el firmware de Hikvision. La empresa se negó a dar una respuesta, a pesar de que le dieron 2 semanas de plazo para responder.

Casi 100 vulnerabilidades

El informe fue publicado por el Centro Nacional de Seguridad Cibernética de Lituania, que forma parte del Ministerio de Defensa Nacional. Se descompila el firmware de la cámara y se verifican las versiones de software en busca de CVE conocidos.

El informe resume sus hallazgos de este proceso, encontrando casi 100 vulnerabilidades en los paquetes de software utilizados en el firmware Hikvision DS-2CD2183G0-IU (V5.6.2 build 190701)

Además, encontraron que el firmware más nuevo contenía más vulnerabilidades que las versiones anteriores (95 frente a 63) que habían sido probadas previamente en un informe anterior.

Se encontraron once paquetes de software que contenían 95 vulnerabilidades de seguridad instalados en la cámara Hikvision DS-2CD2183G0-IU. Treinta y dos vulnerabilidades tenían una puntuación de amenaza superior a 6,5 (de 10).

Las vulnerabilidades identificadas podrían permitir a los piratas informáticos ejecutar ciberataques, interceptar de forma remota información de la cámara y ejecutar código malicioso. Además, se descubrió que la cámara era susceptible a ataques de denegación de servicio (DoS).

Puede ver el informe completo haciendo click AQUI.

Vulnerabilidades críticas

El paquete con más vulnerabilidades y más crítico fue una versión anterior de OpenSSL (1.0.1j), que contiene 45 vulnerabilidades, tres de las cuales tienen la puntuación más alta posible, 10/10. Otros, incluidos BusyBox, libssh2 y libxls también tienen vulnerabilidades graves, con una puntuación de 8+.

El informe NCSC menciona las ramificaciones potenciales de estas vulnerabilidades:

Versiones de software desactualizadas

En particular, todos estos paquetes están muy desactualizados, muchos de ellos datan de 2012 o antes, incluidos Open SSL y BusyBox, los paquetes con las vulnerabilidades más graves. Hay disponibles versiones más nuevas de estos paquetes que contienen pocas o ninguna vulnerabilidad conocida, pero Hikvision no las ha implementado.

Vulnerabilidades no explotadas durante las pruebas

El NCSC no describio ninguna de estas vulnerabilidades durante las pruebas. No hay pruebas de concepto de cómo se pueden explotar estas vulnerabilidades. En cambio, NCSC señaló que el objetivo del estudio era evaluar qué vulnerabilidades existían y qué tan severamente fueron calificadas por el sistema común de puntuación de vulnerabilidades. Es poco probable que alguna de estas vulnerabilidades sea aprovechada por usuarios sin experiencia, debido a su complejidad, pero podrían ser puntos de partida para ataques más complejos.

Limitaciones de este informe.

Aunque la NCSC realizó un análisis detallado del firmware de las cámaras probadas, el firmware puede variar en otras líneas de productos y en otras regiones. El NCSC realizó su análisis solo en firmware de la región europea.

Además, tenga en cuenta que ahora hay disponibles versiones más recientes de firmware. Las vulnerabilidades pueden variar en esta y en cualquier versión más nueva a medida que se lancen.

Análisis de firmware Dahua no incluido

Dahua se menciona en este nuevo informe y en un informe anterior de Mayo de 2020, pero el NCSC no realizó un análisis de vulnerabilidad detallado como lo hizo con Hikvision. En cambio, las pruebas de Dahua se centraron en el tráfico de "teléfonos domésticos", puertos abiertos y versiones de servicios web. No encontraron ninguna "vulnerabilidad de seguridad cibernética directa" específica en estas pruebas, pero encontraron que la cámara abrió conexiones y envió paquetes periódicamente a servidores en 5 países diferentes, incluida China.

Contraste del fabricante AXIS: sin vulnerabilidades conocidas

Además de Hikvision, NCSC también verificó el firmware de Axis en busca de vulnerabilidades en el software actual. Descubrieron que, si bien el firmware de fábrica (7.3.0 en sus pruebas) tenía 53 vulnerabilidades conocidas, desde 2016, la última versión del firmware en el momento de su investigación no tenía vulnerabilidades conocidas (9.3.0).

Malo para Hikvision

Dado el historial muy pobre de Hikvision, incluidas las vulnerabilidades críticas, las vulnerabilidades en la nube y las puertas traseras, es probable que este informe genere preocupaciones sobre la ciberseguridad de la empresa. Además, aunque muchas de las vulnerabilidades anteriores fueron reveladas por particulares, es probable que la publicación de este informe por una agencia gubernamental genere aun mas impacto.

Fuente: www.ipvm.com