image

QNAP waarschuwt voor ernstige kwetsbaarheid in ip-camera's Hikvision

vrijdag 2 september 2022, 09:10 door Redactie, 5 reacties

NAS-fabrikant QNAP heeft gebruikers gewaarschuwd voor een ernstige kwetsbaarheid in ip-camera's van Hikvision. In Nederland zouden ruim tweeduizend kwetsbare apparaten zijn te vinden. QNAP heeft geen directe relatie met Hikvision, maar biedt software waarmee het mogelijk is om beelden van een ip- of beveiligingscamera op een NAS-apparaat op te slaan en bekijken.

Zo kunnen NAS-gebruikers eenvoudig een eigen "surveillancesysteem" opzetten. Hiervoor biedt QNAP de software QVR Pro en QVR Elite. Via de software is het mogelijk om de ip-camera's van Hikvision te koppelen. Vorig jaar werd er een ernstige kwetsbaarheid (CVE-2021-36260) in camera's van Hikvision gevonden waardoor het mogelijk is voor aanvallers om die op afstand over te nemen, zonder interactie van gebruikers.

Door het versturen van speciaal geprepareerd request is het mogelijk voor een aanvaller om een onbeperkte rootshell op het apparaat te krijgen. De aanvaller hoeft daarbij niet over inloggegevens te beschikken. De enige voorwaarde om de aanval uit te voeren is dat een aanvaller toegang tot de ip-camera heeft. Via de rootshell heeft de aanvaller volledige controle over de ip-camera en kan zo meekijken of malware installeren. Daarnaast is het mogelijk om vanaf de gecompromitteerde camera het achterliggende netwerk aan te vallen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld.

Eerder dit jaar werd bekend dat aanvallers actief misbruik van de kwetsbaarheid maken. Recentelijk meldde securitybedrijf Cyfirma dat het meer dan 80.000 kwetsbare Hikvision-camera's op internet had gevonden, waaronder bijna 2300 in Nederland (pdf). Hoewel de kwetsbaarheid niet direct de producten van QNAP raakt, heeft de NAS-fabrikant wel besloten om vandaag een waarschuwing af te geven en roept gebruikers op om hun Hikvision-camera's te updaten.

Reacties (5)
02-09-2022, 10:44 door Anoniem
Daarom hang je je camera's in een gesloten, bekabeld netwerk, zonder Internet toegang.
02-09-2022, 15:21 door Anoniem
Door Anoniem: Daarom hang je je camera's in een gesloten, bekabeld netwerk, zonder Internet toegang.

Maar 90% van de wereldbevolking is dom en lui, en klikt alleen maar next next next
02-09-2022, 17:13 door Anoniem
Door Anoniem:
Door Anoniem: Daarom hang je je camera's in een gesloten, bekabeld netwerk, zonder Internet toegang.

Maar 90% van de wereldbevolking is dom en lui, en klikt alleen maar next next next

Niet alleen dat.
Er zijn camera's die slechts via wifi aangesloten kunnen worden, en gebruiken usb voor stroomvoorziening, en alleen via een app werken.
Ik weet alleen niet of dat slechts via bluetooth gaat of via leverancier-portal (dus internet).
02-09-2022, 19:50 door Anoniem
Door Anoniem:
Er zijn camera's die slechts via wifi aangesloten kunnen worden, en gebruiken usb voor stroomvoorziening, en alleen via een app werken.
Nouja het minimum wat je kunt doen is een aparte WiFi SSID aanmaken voor zulke dingen, die aan een apart subnet
koppelen, en daarop wel internet routing (NAT) configureren maar geen communicatie met je andere netwerk(en).
Gelukkig ondersteunen steeds meer routers dat tegenwoordig zelfs in "simpele modus" en de rest zal vast volgen.
05-09-2022, 11:26 door Anoniem
Door Anoniem:
Door Anoniem:
Er zijn camera's die slechts via wifi aangesloten kunnen worden, en gebruiken usb voor stroomvoorziening, en alleen via een app werken.
Nouja het minimum wat je kunt doen is een aparte WiFi SSID aanmaken voor zulke dingen, die aan een apart subnet
koppelen, en daarop wel internet routing (NAT) configureren maar geen communicatie met je andere netwerk(en).
Gelukkig ondersteunen steeds meer routers dat tegenwoordig zelfs in "simpele modus" en de rest zal vast volgen.

Typische IT-geek reactie weer.
Dat lukt tante Truus toch niet man...
Denk je nou echt dat de gemiddelde eigenaar van dat soort spul ook maar iets weet van NAT, Wi-Fi SSD, etc.? Serieus?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.