Hikvision kamerák sérülékenységei

A "Montecrypto" nevű IPcamtalk felhasználó két hibát talált a Hikvision alábbi kameráiban és szoftver verzióiban:

- DS-2CD2xx2F-I sorozat, V5.2.0 build 140721-től V5.4.0 build 160530-ig;
- DS-2CD2xx0F-I sorozat, V5.2.0 build 140721-től V5.4.0 Build 160401-ig;
- DS-2CD2xx2FWD sorozat, V5.3.1 build 150410-től V5.4.4 Build 161125-ig;
- DS- 2CD4x2xFWD sorozat, V5.2.0 build 140721-től V5.4.0 Build 160414-ig;
- DS-2CD4xx5 sorozat, V5.2.0 build 140721-től V5.4.0 Build 160421-ig;
- DS-2DFx sorozat, V5.2.0 build 140805-től V5.4.5 Build 160928-ig;
- DS-2CD63xx sorozat, V5.0.9 build 140305-től V5.3.5 Build 160106-ig.

A két hiba közül az első az authentikációs eljárásban található, a második pedig abból adódik, hogy egyes konfigurációs fájlokban jelszavak lehetnek.

Az authentikáció hibáját a gyártó egy új firmware-verzióban javította, a konfigurációs állományokban található jelszavak problémájára azonban egyelőre nincs javítás.

A sérülékenységekről további információkat az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-124-01

Sérülékenység Dahua Technology Co., Ltd digitális videórögzítő rendszerekben és IP kamerákban

Egy Bashis néven ismert kutató talált hibákat a Dahua Technology Co., Ltd egyes DVR és IP kamera rendszerekben. Az alábbi kamerák érintettek:

- DH-IPC-HDBW23A0RN-ZS;
- DH-IPC-HDBW13A0SN;
- DH-IPC-HDW1XXX;
- DH-IPC-HDW2XXX;
- DH-IPC-HDW4XXX;
- DH-IPC-HFW1XXX;
- DH-IPC-HFW2XXX;
- DH-IPC-HFW4XXX;
- DH-SD6CXX;
- DH-NVR1XXX;
- DH-HCVR4XXX és
- DH-HCVR5XXX.

Érintettek továbbá az alábbi digitális videórögzítő rendszerek:

- DHI-HCVR51A04HE-S3;
- DHI-HCVR51A08HE-S3 és
- DHI-HCVR58A32S-S2.

Az első hiba lehetővé teszi egy támadó számára, hogy pass-the-hash támadást hajtson végre a sérülékeny rendszerek ellen, a második pedig (ma már nem először) a jelszavak konfigurációs fájlokban történő megjelenéséből adódik.

A gyártó elkészítette és elérhetővé tette a hibák javítását tartalmazó firmware-verziót és további információkat publikált a sérülékenységekről:

http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php
http://www.dahuasecurity.com/en/us/single.php?nid=354
http://www.dahuasecurity.com/en/us/single.php?nid=364
http://us.dahuasecurity.com/en/us/Security-Bulletin_04032017.php

A sérülékenységekkel kapcsolatos ICS-CERT publikáció itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-124-02

Advantech WebAccess sérülékenység

Zhou Yu, a ZDI-vel együttműködő kutató egy könyvtárbejárást lehetővé tevő hibát talált az Advantech WebAccess 8.1-es és korábbi verzióiban.

A gyártó a hibát a 8.2_20170330 verzióban javította, amit a hibát jelentő kutató is tesztelt és megerősítette, hogy a javítás nyomán a sérülékenység megszűnt.

A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-124-03

Rockwell Automation ControlLogix és CompactLogix sérülékenység

Az ICS-CERT bejelentése szerint a Rockwell Automation alábbi rendszereiben egy DoS-támadást lehetővé tevő hibát azonosítottak:

- ControlLogix 5580 vezérlők V28.011, V28.012 és V28.013 verziói;
- ControlLogix 5580 vezérlők V29.011 verziója;
- CompactLogix 5380 vezérlők V28.011 verziója és
- CompactLogix 5380 vezérlők V29.011 verziója.

A hibát a gyártó a későbbi verziókban már javította, így minden, érintett verziójú vezérlőt használó ügyfelének azt javasolja, hogy frissítsenek, a ControlLogix 5580-as a CompactLogix 5380-as vezérlők esetén is a V30.011-es verzióra.

A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-094-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.