Niz neuspeha u proizvodnji video nadzor Dahua Technology opreme se nastavlja. Uz masovne cyber security skandale koji su obeležili ovog kineskog proizvođača u godinama za nama, kao i sa široko rasprostranjenim hakovanjem Dahua video nadzor proizvoda, Dahua se sada u 2019-oj ponovo oglasila i priznala čak pet novih, izuzetno ozbiljnih cyber security bezbednosnih propusta!
Dahua – nova kritična ranjivost u 2019. godini
Kompanija Dahua Technology priznala je pet novih bezbednosnih propusta, uključujući jednu kritičnu ranjivost sa 9,8/10,0 CVSS rezultatom, kao i dva kritična cyber bezbednosna propusta (CVSS score: 7.0 – 9.0). Ove bezbednosne propuste otkrili su istraživači sa Univerziteta primenjenih nauka Offenburg, koji razvijaju IoT bezbednosne sisteme.
Poseban negativan uticaj dugogodišnjih bezbednosnih propusta u domenu ranjivosti i neotpornosti Dahua kamera i video nadzor opreme na hakerske napade sve više je izražen u odnosu na sistem integratore i kupce, ali i na Dahua OEM-ove.
Posebnu zahvalnost odajemo menadžmentu IT departmana srednjih i velikih kompanija, banaka i industrija, aktivnim pratiocima naših regionalnih newsletter-a, a koji su ovom prilikom dali i svoje viđenje problema kada je u pitanju ne bezbedna tj. cyber ranjiva oprema. Više o sagledavanju cyber security ranjivosti opreme, iz ugla krajnjih korisnika možete pročitati dalje u ovom tekstu.
Novi Dahua bezbednosni propusti o kojima pišemo u ovom tekstu su potpuno novi cyber security incidenti i nisu povezani sa cyber security skandalom Dahua bezbednosnih propusta vezanih za prisluškivanje, koja je obelodanjena pre samo dva meseca. Naime, tada je utvrđeno da na Dahua kamerama, čak i ukoliko je audio isključen, haker-napadač ipak može neovlašćeno prisluškivati kao kada je audio uključen.
Pregled cyber ranjivosti otkrivenih samo tokom meseca Oktobra
Dahua je priznala 5 novih propusta:
1. CVE-2019-9677
Base Score:9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) Temporal Score:9.4(E:H/RL:O/RC:C)
2. CVE-2019-9678
Base Score:7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) Temporal Score:7.2(E:H/RL:O/RC:C)
3. CVE-2019-9679
Base Score:8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) Temporal Score:8.4(E:H/RL:O/RC:C)
4. CVE-2019-9680
Base Score:5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) Temporal Score:5.1(E:H/RL:O/RC:C)
5. CVE-2019-9681
Base Score:5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) Temporal Score:5.1(E:H/RL:O/RC:C)
Najkritičnija bezbednosna ranjivost u Dahua video nadzor proizvodima (CVE-2019-9677) omogućuje „napadaču da izazove buffer overflow slanjem malicioznih paketa”. U svom saopštenju istraživači su potvrdili da ova ranjivost “omogućuje hakerima da izvrše maliciozni kod na video nadzor kameri”. To je razlog zašto je ova ranjivost dobila takav kritični rezultat (9.8 od 10,0), jer hakeri mogu da preuzmu kamere, ili da pristupe snimcima i sadržajima direktno, ili da koriste kamere za video nadzor da napadnu druge mrežne, IP uređaje.
I dok je hakeru potreban mrežni pristup uređajima, kao što su Dahua masovna hakovanja u 2017-oj pokazala, postoji veliki broj Dahua uređaja dostupnih javno na internetu.
Modeli na koje je uticao ovaj bezbednosni propust
Dahua je objavila listu modela na koje utiče ovaj bezbednosni propust i ta lista uključuje poznate modele. Ova objava pokazuje 9 redova, ali je procena stručnjaka iz domena cyber bezbednosti da otkriveni propusti zapravo utiču na desetine modela kamera ukupno:
Ovo su modeli kamera starije generacije, nižih do srednjih klasa kamera. Međutim, svi firmware-i do avgusta 2019. su pogođeni ovim bezbednosnim propustom.
Dahua kvalifikuje svoju izjavu o ovim modelima kao modeli za koje je “poznato da su pogođeni”, ali mi predpostavljamo da do ovog trenutka kompanija zna sve modele, jer su istraživači pre četiri meseca izvestili ovog kineskog proizvođača o ranjivosti i bezbednosnim propustima. Proizvođač Dahua Technology je izdao saopštenje 14. septembra, 2019. Nismo čuli ništa na ovu temu dok security istraživač Bashis, koji je još 2017. otkrio Dahua backdoor bezbednosni problem, nije podelio ovu izjavu sa stručnom javnošću.
OEM (Original Equipment Manufacturer) i nove glavobolje
Dahua je jedan od globalno najvećih proizvođača i mnogi drugi proizvođači vide očiglednu prednost da uspostave OEM saradnju sa njima. Negativna strana OEM kooperativnog odnosa se upravo najbolje vidi u ovakvim situacijama, kada se otkriju ranjivosti kod proizvođača Dahua, ti bezbednosni propusti se prenose i na kompanije koje OEM-uju Dahua tehnologiju i automatski postaju izložene rizicima duži vremenski period. Na sledećem linku možete pogledati koji to sve proizvođači koriste Dahua OEM uslužnu proizvodnju – Dahua Technology OEM.
U ovom slučaju istraživači su upravo i otkrili ranjivosti u OEM-ovanim Dahua kamerama. Istraživači su poslali objašnjenje:
“Ranjivosti su prvobitno identifikovane na white-labeled Dahua uređaju a kompanija koja je OEM-ovala Dahua kamere još uvek nije objavila novi firmvare kompanije Dahua.“ Kao što je i Honeywell sa mesec dana zakašnjenja popravio ranjivost vezanu za audio prisluškivanje, ni sada nije jasno kada i da li će uopšte razni Dahua OEM-ovi to učiniti.
Ovo je još jedan primer opasnosti kupovine od OEM-ova, čak i više nego što je opasnost kupovine direktno od Dahua kompanije.
Konstantni problemi za kompaniju Dahua Technology
Dahua je napravila različite marketinške poteze kako bi popravila svoju cyber bezbednost, uključujući i infografik o njihovom fundamentalnom okviru za cyber bezbednost, kao i YouTube video koji poredi DAHUA sa fitnesom za dame?!? U tom video iz januara 2019. godine, Dahua glumica sa omalovažavanjem kaže da su njihovi problemi postojali pre dosta vremena. Ova nova serija ranjivosti i omasovljenih bezbednosnih propusta, uključujući i visoke i kritične stepene cyber ranjivosti, ponovo otvara značajnu zabrinutost za Dahua proizvođača.
Kupci i integratori u velikim problemima
Već nekoliko nedelja kruže saveti za ublažavanje ove bezbednosne cyber ranjivosti. Verujemo da je većina firmware-a za otklanjanje ovog bezbednosnog propusta do sada puštena i sada je stvar vremena za sistem integratore i kupce da ažuriraju zaražene uređaje. Ali da li je samo to problem?
Izazovi za kupce koji poseduju ili planiraju veće nabavke kamera tek počinju. Srednji i veliki kupci sa više desetina ili stotina kamera u sistemu, imaju sasvim drugačije viđenje ovog problema. IT departmani srednjih i velikih kompanija, banaka, državnih ustanova i velikih industrijskih objekata okrenuti su automatizaciji operacija, data centara, računarske mreže i svih uređaja koji na toj mreži funkcionišu. Problem je već sada preokupiranost IT timova u rešavanju svakodnevnih operacija a dodatni i često u potpunosti nesaglediv rizik koje donose Dahua IP kamere koje rade na njihovoj računarskoj mreži dovode IT timove do tačke pucanja. Ne samo zbog dodatne frustrirajuće okupacije u vezi sa saniranjem konstantnog strima novootkrivenih bezbednosnih propusta, već posebno zbog rizika kojim Dahua kamere ovakvog „kvaliteta“ proizvodnje izlažu kompletnu mrežnu infrastrukturu i data centre ovih korisnika.
Da li je rešenje u frustrirajućoj popravci i konstantnom saniranju novootkrivenih bezbednosnih propusta?
Ili, kako predlaže menadžment IT i security departmana, možda inteligentniji pristup ovom problemu leži u boljem, pametnijem i pre svega odgovornijem planiranju video nadzor sistema..? Procenite sami.
