hikvision отаке.

Posted: 2017-10-03 in IT, Security
Метки:,

В камерах и DVR (IP-видеорегистраторы) hikvision похоже нашли новую багу. Пару лет назад я уже писал очень матерно-ругательную статью про эти железки, но сейчас проблема приобрела серьёзный размах — наблюдались массовые взломы таких систем, сброс настроек (даже при сильных паролях), DDoS-атаки с них (DNS-/NTP-усиление) и использование хакнутого оборудования для атак на другие сети / подбор паролей к сервисам (telnet, ssh, vnc, rdp — точно) и прочему непотребству.

Что интересно, бевардовские камеры и даже длинки, висевшие в тех же сетях, не постарадали, так что проблема чисто хиквижена. Всем срочно патчиться, менять пароли, по возможно выносить IP-камеры в более защищённые сегменты сети.

Если вам нужно повесить камеру на внешний адрес, то НЕ НАДО прифигачивать её сразу внешний адрес напрямую — ни в IPv4, ни в IPv6. Если есть роутер — затащите её за этот роутер и сделайте Port-forward для RTSP вида :

TCP+UDP: xy554 --> 192.168.x.y:554

Для получения видеопотока этого более чем достаточно. Если камера оказалась единственной на объекте (бывает такое) — применить IP-whitelist. Правда если этот вайтлист на камере обслуживает только веб-доступ, но не применяется для доступа по телнет/ссш (да, вам не приглючилось, телнет там живее всех живых и доступен на куче девайсов через интернеты) или иному кривому порту — то может не помочь.

Так что в случае хиквижена — именно big, именно факинг и именно фейл, и именно с секурити.

- комментарии
  1. any proofs ?
    ибо в последних прошивках хиков сильно порезаны сервисы и телнета я там уже не наблюдаю.

  2. Да ладно хиквижены. Куча железяк есть от китайцев купленых у нага и «снятых с производства», где бери и рутай через телнет (особых навыков не требуется).
    Я ими не занимаюсь, но коллега говорит что тупо настройки сбрасывают. Скрипткидди полюбому. А так скорей всего они давно в бот сети.
    Если бы настройки не сбрасывались никто бы и не заметил. Секурность!!!

  3. Amin:

    Олександр, так то в последних прошивках.
    А если пронмапить хиквиженовскую камеру, то там можно увидеть пачку открытых портов, часть из которых недокументирована и непонятно, что за муйня за ними висит.

  4. Я:

    А как Вам фейлище с phase3(?или 2, шас не помню) в WPA2 протоколе? Вот уж опасносте так опасносте!!! Причём обычные пользователи вряд ли станут озабачиваться апгрейдом роутеров. Так что теперь у продвинутых хацкеров поле непаханное для работы по взлому вайфайных точек. И даже мне, законопослушному(обычно), захотелось эту дырку потестить…

  5. Amin:

    Более того — есть огромное количество оборудования в статусе «End-of-Life», то есть для которого нет ни поддержки, ни новых прошивок, да ещё и проприетарное оно по самые гланды, так что опенсурсной альтернативы под них тоже нет в самом тяжелом случае.

    Покупать же новое железо только потому, что в старом есть уязвимости — большинство людей не будет, обычные домашние пользователи в этом не разбираются, и тратить на это деньги не готовы.

    Так что будет весело.