image

Onderzoeker: Backdoor in Hikvision ip-camera's jaren aanwezig

dinsdag 12 september 2017, 11:32 door Redactie, 5 reacties

Camera's van fabrikant Hikvision, die ook als white label onder allerlei andere namen worden verkocht, hebben jarenlang een backdoor bevat waardoor kwaadwillenden toegang tot het apparaat konden krijgen. Dat stelt een beveiligingsonderzoeker met het alias "Monte Crypto".

Code in de ip-camera's maakte het mogelijk om elk account op de ip-camera na te bootsen en zo in het ergste geval beheerderstoegang te krijgen. De onderzoeker ontdekte de kwetsbaarheid op 5 maart van dit jaar en waarschuwde Hikvision een dag later. Een week later werden er door Hikvision firmware-updates voor getroffen apparaten uitgebracht en gaf ook het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid een waarschuwing af. De onderzoeker vraagt zich echter af of het hier om een opzettelijke backdoor gaat of onbedoelde bug. Het probleem was namelijk sinds 2014 aanwezig.

De backdoor bestond uit eenvoudige code "als dit bestaat, sla dan alle authenticatie over". Volgens de onderzoeker valt de backdoor erg op voor iemand die het verloop van de code begrijpt. "Het is bijna onmogelijk dat zulke duidelijke code niet door ontwikkel- of Q&A-teams wordt opgemerkt, toch was het langer dan 3 jaar aanwezig." Daarnaast begon de kwetsbaarheid langzaam uit de nieuwe firmware te verdwijnen die in januari/februari van dit jaar verscheen, nadat Hikvision stelde dat dergelijke backdoors niet in de producten aanwezig waren nadat soortgelijke backdoors in de producten van andere fabrikanten waren ontdekt.

Volgens Hikvision ging het om debugcode die onbedoeld door een ontwikkelaar was achtergelaten. De onderzoeker stelt dat het mogelijk is dat een ontwikkelaar een stuk code heeft vergeten te verwijderen dat jarenlang onopgemerkt blijft. Er is geen moeite gedaan om de backdoorcode te verbergen, wat wel de verwachting zou zijn in het geval van een opzettelijk aangebrachte backdoor. Hoewel er inmiddels een update beschikbaar is zijn er volgens de onderzoeker nog honderdduizenden kwetsbare apparaten via internet toegankelijk.

Daarnaast zijn er voor de whitelabel ip-camera's geen updates beschikbaar. Het gaat met name om camera's die voor de Chinese markt zijn gemaakt. De onderzoeker stelt dat de kwetsbaarheid eenvoudig is te misbruiken. Gebruikers krijgen dan ook het advies om alle Hikvision-producten te upgraden of van het internet los te koppelen. Een andere oplossing is het gebruik van toegangscontrole, waarbij alleen betrouwbare ip-adressen toegang krijgen. Veel Hikvision ip-camera's hebben echter standaard UPnP ingeschakeld, waardoor ze zichzelf automatisch aan het internet blootstellen.

Reacties (5)
12-09-2017, 11:59 door Anoniem
Boete van 2.5kk en het is snel afgelopen met dit soort praktijken.
12-09-2017, 16:43 door Anoniem
Door Anoniem: Boete van 2.5kk en het is snel afgelopen met dit soort praktijken.

2500,-? Ben je gek geworden of wat?
Minimaal € 250.000,-
12-09-2017, 18:46 door Anoniem
Door Anoniem: Boete van 2.5kk en het is snel afgelopen met dit soort praktijken.

Boete voor het maken van menselijke fouten? lol.
13-09-2017, 12:08 door Anoniem
Boete voor het maken van menselijke fouten? lol.

Mogelijk een menselijke fout, mogelijk opzet. De oorzaak valt lastig te achterhalen.

Ben je gek geworden of wat? Minimaal € 250.000,-

Gevolg is dat de prijs van de produkten hoger wordt, en dat de consument uiteindelijk de boete zal betalen.
13-09-2017, 12:14 door Briolet
Onverantwoord van deze onderzoeker om dit te publiceren. Hij schrijft zelf:
Daarnaast zijn er voor de whitelabel ip-camera's geen updates beschikbaar.

Hij wil zichzelf bewijzen dat hij iets gevonden heeft, maar brengt alle mensen in gevaar die niet kunnen updaten.

Verder maakt HikVision het updaten zo lastig door hun firmware echt te verstoppen op hun site, dat ik denk dat veel anderen dit updaten ook niet doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.