{"id":4883,"date":"2022-08-30T00:11:33","date_gmt":"2022-08-29T22:11:33","guid":{"rendered":"https:\/\/www.ass-security.fr\/blog\/?p=4883"},"modified":"2025-02-16T18:47:53","modified_gmt":"2025-02-16T17:47:53","slug":"vulnerabilite-critique-pour-les-cameras-hikvision-faille-cve-2021-36260","status":"publish","type":"post","link":"https:\/\/www.ass-security.fr\/blog\/vulnerabilite-critique-pour-les-cameras-hikvision-faille-cve-2021-36260\/","title":{"rendered":"News : Vuln\u00e9rabilit\u00e9 critique not\u00e9e par le CVSS 9,8 pour les cam\u00e9ras de vid\u00e9osurveillance Hikvision – Faille CVE-2021-36260"},"content":{"rendered":"\n

Une faille RCE – Remote Code Execution<\/strong> affecte la plupart des cam\u00e9ras de surveillance Hikvision construite \u00e0 partir de 2016 jusqu\u2019\u00e0 aujourd\u2019hui (hors cam\u00e9ras patch\u00e9es apr\u00e8s septembre 2021<\/strong>). Les failles RCE sont des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 logicielle permettant l\u2019ex\u00e9cution d\u2019un code malveillant en local ou \u00e0 distance vers l\u2019\u00e9quipement concern\u00e9. Une faille laissant envisager une possibilit\u00e9 de \u00ab\u2009Zero Day<\/strong>\u2009\u00bb ayant probablement \u00e9t\u00e9 exploit\u00e9e de mani\u00e8re obscure bien des ann\u00e9es avant sa d\u00e9couverte le 21 juin 2021. Cette vuln\u00e9rabilit\u00e9 toucherait plusieurs centaines de millions de produits Hikvision<\/a><\/strong> dans le monde incluant, les NVR\/DVR \u00e9galement impact\u00e9s par cette faille du num\u00e9ro 1 mondial de la vid\u00e9osurveillance. Avec un score de 9,8<\/strong> sur une \u00e9chelle de 1 \u00e0 10 du syst\u00e8me d\u2019\u00e9valuation standardis\u00e9 \u00ab\u2009Common Vulnerability Scoring System \u2013 CVSS<\/strong>\u2009\u00bb, nul doute \u00e0 avoir que cette vuln\u00e9rabilit\u00e9 est consid\u00e9r\u00e9e comme critique… Hi\u00e9rarchis\u00e9e sous le num\u00e9ro \u00ab\u2009CVE-2021-36260<\/strong>\u2009\u00bb, cette faille d\u00e9couverte le 20 juin 2021 par @Watchful_IP<\/strong> aura \u00e9t\u00e9 transmise de mani\u00e8re d\u00e9taill\u00e9e et document\u00e9e au service HSRC Hikvision – Hikvision Security Response Center<\/strong>. S\u2019en suivront des \u00e9changes jusqu\u2019\u00e0 la publication d\u2019un bulletin d\u2019alerte fait par Hikvision (SN No. : HSRC-202109-01<\/strong>) et Watchful_IP le 18 septembre 2021<\/strong>. S\u2019appuyant sur un acc\u00e8s Root complet (sup\u00e9rieur \u00e0 de simples privil\u00e8ges administrateur bien plus limit\u00e9) avec, une possibilit\u00e9 d\u2019ex\u00e9cution de commandes Shell racine b\u00e9n\u00e9ficiant des pleins privil\u00e8ges, cette vuln\u00e9rabilit\u00e9 semble v\u00e9ritablement d\u00e9passer toute esp\u00e9rance en mati\u00e8re de faille<\/strong>\u2026 <\/p>\n\n\n\n

\u00ab Security Notification – Command Injection Vulnerability in Some Hikvision products
Read more: https:\/\/hikvision.com\/en\/support\/cybersecurity\/security-advisory\/security-notification-command-injection-vulnerability-in-some-hikvision-products #cybersecurity #Hikvision \u00bb<\/p>HikvisionHQ (@HikvisionHQ) – Sept 19, 2021 – Twitter<\/cite><\/blockquote><\/figure>\n\n\n\n

Cet acc\u00e8s root<\/strong> permet l\u2019entier contr\u00f4le de l\u2019\u00e9quipement et de surcro\u00eet, la possibilit\u00e9 d\u2019ex\u00e9cution de code malveillant au sein d\u2019une cam\u00e9ra ou NVR Hikvision<\/strong> laissant l\u00e0, de tr\u00e8s belles opportunit\u00e9s \u00e0 tout type d\u2019individus malveillant<\/strong>\u2026. L’exploitation de Botnets s’av\u00e8re possible selon les diff\u00e9rentes documentations, principalement l\u2019ex\u00e9cution d’un hybride baptis\u00e9 \u00ab\u2009Moobot<\/strong>\u2009\u00bb, issu d’une g\u00e9n\u00e9tique proche de Mirai . Autant dire les ambitions d\u2019exploitation des produits Hikvision \u00e0 des fins de propagation de ce Botnet dans le but d\u2019ex\u00e9cuter des attaques DDoS<\/strong> n\u2019est plus \u00e0 prouver\u2026 Selon l\u2019\u00e9valuation des risques faite par Watchful_IP<\/strong> en 2021 sur son site internet, cette faille est exploitable \u00e0 distance ou en local sans n\u00e9cessiter la moindre authentification tout en ne laissant aucune trace d\u2019effraction dans les logs, rendant les attaques des plus discr\u00e8tes\u2026 L\u2019\u00e9quipement concern\u00e9 pourrait \u00eatre rendu inutilisable et la compromission des identifiants\/mdp<\/strong> est bien s\u00fbr, totalement possible. L\u2019ex\u00e9cution de code malveillant<\/strong> pourrait apporter un joli statut de \u00ab\u2009Machine-zombie\u2009\u00bb faisant de n\u2019importe quel \u00e9quipement de vid\u00e9osurveillance, une menace fant\u00f4me aux ordres de son commandant. Une m\u00e9thodologie qui n\u2019est pas sans rappeler l\u2019attaque de 2016 perp\u00e9tr\u00e9s contre le g\u00e9ant fran\u00e7ais OVH\u2026 Une attaque par D\u00e9ni de service – DDoS<\/strong> initi\u00e9 par plus de 145 000 cam\u00e9ras de surveillance<\/strong> compromises qui, avec des salves stratosph\u00e9riques \u00e0 1 Tb\/s<\/strong>, avaient quelque peu d\u00e9fray\u00e9 la chronique \u00e0 l\u2019\u00e9poque !<\/p>\n\n\n\n

\u00ab This botnet with 145607 cameras\/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type : tcp\/ack, tcp\/ack+psh, tcp\/syn. \u00bb<\/p>Octave Klaba\/Oles (@olesovhcom) – Sept 23, 2016 – Twitter<\/cite><\/blockquote><\/figure>\n\n\n\n

\"\"
Extrait des captures d’image publi\u00e9 par @Watchful_IP<\/strong>. L’acc\u00e8s Root \u00e0 la cam\u00e9ra est visible sur cette capture depuis Kali Linux<\/em><\/figcaption><\/figure>\n\n\n\n

L’autre volet obscur<\/strong> li\u00e9 \u00e0 l\u2019existence de ce type de vuln\u00e9rabilit\u00e9, r\u00e9side dans la possibilit\u00e9 de cyberattaque par \u00ab\u2009rebonds\u2009\u00bb<\/strong> avec des risques \u00e9ventuels de compromission du r\u00e9seau interne qui pourrait faciliter cette m\u00e9thodologie d’attaque aussi connue sous l’appellation \u00ab<\/strong> d’ Island\u2009Hopping \u00bb<\/strong>. Des attaques qui pourraient s\u2019appuyer sur une cam\u00e9ra de vid\u00e9oprotection vuln\u00e9rable telle une Hikvision non patch\u00e9e, en tant que passerelle vers les infrastructures informatiques d\u2019un fournisseur tiers. Une m\u00e9thodologie d\u2019attaque particuli\u00e8rement pl\u00e9biscit\u00e9e et performante que nous avions pr\u00e9sent\u00e9e en d\u00e9tail lors d\u2019un article d\u00e9di\u00e9 \u00e0 la Cybers\u00e9curit\u00e9 r\u00e9dig\u00e9 en Ao\u00fbt 2019.<\/strong> \u00ab\u2009Dossier : Attaque, Piratage & cam\u00e9ras de surveillance, o\u00f9 en sommes-nous\u2009?<\/a>\u2009\u00bb<\/strong><\/p>\n\n\n\n

News : Vuln\u00e9rabilit\u00e9 critique pour les cam\u00e9ras Hikvision | Liste non exhaustive des produits Hikvision concern\u00e9s (hors OEM)<\/h2>\n\n\n