|  | 

News

News : Vulnérabilité critique pour les caméras Hikvision – Faille CVE-2021-36260

News : Vulnérabilité notée par le CVSS 9,8 pour les caméras de vidéosurveillance Hikvision

Une faille RCE – Remote Code Execution affecte la plupart des caméras de surveillance Hikvision construite à partir de 2016 jusqu’à aujourd’hui (hors caméras patchées après septembre 2021). Les failles RCE sont des vulnérabilités de sécurité logicielle permettant l’exécution d’un code malveillant en local ou à distance vers l’équipement concerné. Une faille laissant envisager une possibilité de « Zero Day » ayant probablement été exploitée de manière obscure bien des années avant sa découverte le 21 juin 2021. Cette vulnérabilité toucherait plusieurs centaines de millions de produits Hikvision dans le monde incluant, les NVR/DVR également impactés par cette faille du numéro 1 mondial de la vidéosurveillance. Avec un score de 9,8 sur une échelle de 1 à 10 du système d’évaluation standardisé « Common Vulnerability Scoring System – CVSS », nul doute à avoir que cette vulnérabilité est considérée comme critique… Hiérarchisée sous le numéro « CVE-2021-36260 », cette faille découverte le 20 juin 2021 par @Watchful_IP aura été transmise de manière détaillée et documentée au service HSRC Hikvision – Hikvision Security Response Center. S’en suivront des échanges jusqu’à la publication d’un bulletin d’alerte fait par Hikvision (SN No. : HSRC-202109-01) et Watchful_IP le 18 septembre 2021. S’appuyant sur un accès Root complet (supérieur à de simples privilèges administrateur bien plus limités) avec, une possibilité d’exécution de commandes Shell racine bénéficiant des pleins privilèges, cette vulnérabilité semble véritablement dépasser toute espérance en matière de faille

« Security Notification – Command Injection Vulnerability in Some Hikvision products
Read more: https://hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/
#cybersecurity #Hikvision »
– HikvisionHQ (@HikvisionHQ) – Sept 19, 2021 – Twitter

Cet accès root permet l’entier contrôle de l’équipement et de surcroît, la possibilité d’exécution de code malveillant au sein d’une caméra ou NVR Hikvision laissant là, de très belles opportunités à tout type d’individus malveillant…. Selon l’évaluation des risques faite par Watchful_IP sur son site internet, cette faille est exploitable à distance ou en local sans nécessité la moindre authentification tout en ne laissant aucune trace d’effractions dans les logs rendant les attaques des plus discrète… L’équipement concerné pourrait être rendu inutilisable et la compromission des identifiants/mdp est bien sûr, totalement possible. L’exécution de code malveillant pourrait apporter un joli statut de « Machine-zombie » faisant de n’importe quel équipement de vidéosurveillance, une menace fantôme aux ordres de son commandant… Une méthodologie qui n’est pas s’en rappeler l’attaque de 2016 perpétrés contre le géant français OVH… Une attaque par Déni de service – DDoS initié par plus de 145 000 caméras de surveillance compromises qui, avec des salves stratosphériques à 1 Tb/s, avaient quelque peu défrayées la chronique à l’époque !

« This botnet with 145607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type : tcp/ack, tcp/ack+psh, tcp/syn. »
– Octave Klaba/Oles (@olesovhcom) – Sept 23, 2016 – Twitter

L’attribut alt de cette image est vide, son nom de fichier est FAILLE-HIKVISION-Watchout_IP.jpg.
Extrait des captures d’image publiés par @Watchful_IP. L’accès Root à la caméra est visible sur cette capture depuis Kali Linux.

L’autre volet obscure lié à l’existence de ce type de vulnérabilité, réside dans la possibilité de cyberattaque par « rebonds » avec des risques éventuels de compromission du réseau interne qui pourrait faciliter cette méthodologie d’attaque aussi connue sous l’appellation « d’ Island Hopping ». Des attaques qui pourraient s’appuyer sur une caméra de vidéoprotection vulnérable en tant que passerelle vers les infrastructures informatiques d’un fournisseur tiers. Une méthodologie d’attaque particulièrement plébiscité et performante que nous avions présentée en détail lors d’un article dédié à la Cybersécurité rédigé en Août 2019. « Dossier : Attaque, Piratage & caméras de surveillance, où en sommes-nous ? »

News : Vulnérabilité critique pour les caméras Hikvision | Liste non exhaustive des produits Hikvision concernés (hors OEM)

  • Références impactées
  • DS-2CVxxx1
    DS-2CVxxx6
  • HWI-xxxx
  • IPC-xxxx
  • DS-2CD1xx1
  • DS-2CD1x23G0
    DS-2CD1x23G0E(C)
    DS-2CD1x43(B)
    DS-2CD1x43(C)
    DS-2CD1x43G0E
    DS-2CD1x53(B)
    DS-2CD1x53(C)
  • DS-2CD1xx7G0
  • DS-2CD2xx6G2
    DS-2CD2xx6G2(C)
    DS-2CD2xx7G2
    DS-2CD2xx7G2(C)
  • DS-2CD2x21G0
    DS-2CD2x21G0(C)
    DS-2CD2x21G1
    DS-2CD2x21G1(C)
  • DS-2CD2xx3G2
  • DS-2CD3xx6G2
    DS-2CD3xx6G2(C)
    DS-2CD3xx7G2
    DS-2CD3xx7G2(C)
  • DS-2CD3x21G0
    DS-2CD3x21G0(C)
    DS-2CD3x51G0(C)
  • Références impactées
  • DS-2CD3xx3G2
  • DS-2CD4xx0
    DS-2CD4xx6
    iDS-2XM6810
    iDS-2CD6810
  • DS-2XE62x2F(D)
    DS-2XC66x5G0
    DS-2XE64x2F(B)
  • DS-2CD8Cx6G0
  • (i)DS-2DExxxx
  • (i)DS-2PTxxxx
  • (i)DS-2SE7xxxx
  • DS-2DYHxxxx
  • DS-2DY9xxxx
  • PTZ-Nxxxx
  • HWP-Nxxxx
  • Références impactées
  • DS-2DF5xxxx
    DS-2DF6xxxx
    DS-2DF6xxxx-Cx
    DS-2DF7xxxx
    DS-2DF8xxxx
    DS-2DF9xxxx
  • iDS-2PT9xxxx
  • iDS-2SR8xxxx
  • iDS-2VSxxxx
  • DS-2TBxxx
    DS-Bxxxx
    DS-2TDxxxxB
  • DS-2TD1xxx-xx
    DS-2TD2xxx-xx
  • DS-2TD41xx-xx/Wx
    DS-2TD62xx-xx/Wx
    DS-2TD81xx-xx/Wx
    DS-2TD4xxx-xx/V2
    DS-2TD62xx-xx/V2
    DS-2TD81xx-xx/V2
  • DS-76xxNI-K1xx(C)
    DS-76xxNI-Qxx(C)
    DS-HiLookI-NVR-1xxMHxx-C(C)
    DS-HiLookI-NVR-2xxMHxx-C(C)
    DS-HiWatchI-HWN-41xxMHxx(C)
    DS-HiWatchI-HWN-42xxMHxx(C)
  • DS-71xxNI-Q1xx(C)
    DS-HiLookI-NVR-1xxMHxx-D(C)
    DS-HiLookI-NVR-1xxHxx-D(C)
    DS-HiWatchI-HWN-21xxMHxx(C)
    DS-HiWatchI-HWN-21xxHxx(C)
  • iDS-2SK7xxxx
    iDS-2SK8xxxx
  • DS-2CD3xx7G0E
    [Liste variable selon région]

News : Vulnérabilité critique pour les caméras et enregistreurs Hikvision – Faille CVE-2021-36260 | Conclusion

Cette faille semble à ce jour (28 septembre 2021), quasiment corrigée si l’on se réfère aux différents portails de mise à jour du fabricant ou de nombreux Firmwares ont vu leurs dates réactualisées. Toutefois, force est de constater que de nombreux produits ne présentent pas encore de réponses correctives face à cette vulnérabilité. Une réponse qui fatalement, tardera quelque peu à se présenter au vu de la jeunesse de la découverte de cette failles associé à la pléthore de références (plusieurs milliers de références incluant les gammes OEM) couvertes par le géant de la vidéosurveillance détenu à 42% par le gouvernement chinois. Une campagne de rappel qui risque hélas, de prendre plusieurs mois, surtout pour les produits n’étant plus commercialisés. Avec un ratio peu favorable entre une criticité jugée sévère et un grand nombre de produits impactés, il sera difficile de ne pas souligner l’ampleur de cette vulnérabilité aux panthéons des failles les plus marquantes de l’histoire de la vidéosurveillance… Une vulnérabilité qui vient hélas, entaché quelque peu la réputation déjà sulfureuse du fabricant chinois de caméras de surveillance qui, campe depuis 2019 dans le collimateur du gouvernement US en raison d’autorisations lié à la « National Defense Authorization ActNDAA ».

Watchful_IP n’a pas documenté publiquement cette faille afin d’éviter une vague d’attaques par bon nombre d’utilisateurs mal intentionnés ou « Script Kiddie » et d’éviter ainsi, une brute montée en puissance d’attaques perpétrées contre les équipements de vidéosurveillance Hikvision. Toutefois cette vulnérabilité semble déjà avoir été rapidement démystifier par d’autres chercheurs en sécurité tel « Bashis », remontant régulièrement des vulnérabilités émanant des caméras de sécurité Hikvision ou Dahua. Cette vulnérabilité risque de laisser sur le marché de la vidéosurveillance une certaine amertume en matière de cybersécurité avec de très nombreux équipements vulnérables qui présenteront probablement, des brèches tout au long de leurs cycle de vie… Les dizaines de marques blanches « OEM » s’appuyant sur des produits Hikvision risquent de ne pas proposer de correctif et bon nombre d’utilisateurs ne seront guère au courant de la situation. Une faille qui devrait encore longtemps faire parler d’elle et on l’espère, servir à une amélioration globale de la sécurité intrinsèque de l’IoT et plus principalement des caméras de vidéosurveillance toutes marques confondues…

  • Bulletin de vulnérabilité par @Watchout_IP : https://watchfulip.github.io

vulnerabilite-critique-pour-les-cameras-hikvision-faille-cve-2021-36260
REDACTION :

Féru des nouvelles technologies, tout en possédant une fibre "RetroGeek" je suis spécialiste depuis plus de 10 ans dans le domaine de la sureté électronique. Autodidacte et perfectionniste avec moi-même, mon métier, au contact des hommes & des machines est la source de mes inspirations.

LAISSER UN COMMENTAIRE

Votre email ne sera pas visible à la publication. Les champs marqués d'un * sont obligatoires

Nom *

Email *

Site internet

Commentaires récents

  • Bonjour, Ça devrait aller. Cordialement

    by Axel Test : Ajax Hub, Hub 2, Hub 2 Plus | Une alarme certifiée EN 50131 aboutie et performante

  • Bonjour Je souhaite acquérir une alarme Ajax, mais je ne dispose pas d’une box. Pour l’Internet à la maison je dispose d’un modem routeur 4g tp link. Est ce compatible en sachant que le routeur 4g n’a pas d’ip fixe. Merci pour votre réponse Salutations

    by Francisr Test : Ajax Hub, Hub 2, Hub 2 Plus | Une alarme certifiée EN 50131 aboutie et performante