NAS-fabrikant QNAP heeft gebruikers gewaarschuwd voor een ernstige kwetsbaarheid in ip-camera's van Hikvision. In Nederland zouden ruim tweeduizend kwetsbare apparaten zijn te vinden. QNAP heeft geen directe relatie met Hikvision, maar biedt software waarmee het mogelijk is om beelden van een ip- of beveiligingscamera op een NAS-apparaat op te slaan en bekijken.

Zo kunnen NAS-gebruikers eenvoudig een eigen "surveillancesysteem" opzetten. Hiervoor biedt QNAP de software QVR Pro en QVR Elite. Via de software is het mogelijk om de ip-camera's van Hikvision te koppelen. Vorig jaar werd er een ernstige kwetsbaarheid (CVE-2021-36260) in camera's van Hikvision gevonden waardoor het mogelijk is voor aanvallers om die op afstand over te nemen, zonder interactie van gebruikers.

Door het versturen van speciaal geprepareerd request is het mogelijk voor een aanvaller om een onbeperkte rootshell op het apparaat te krijgen. De aanvaller hoeft daarbij niet over inloggegevens te beschikken. De enige voorwaarde om de aanval uit te voeren is dat een aanvaller toegang tot de ip-camera heeft. Via de rootshell heeft de aanvaller volledige controle over de ip-camera en kan zo meekijken of malware installeren. Daarnaast is het mogelijk om vanaf de gecompromitteerde camera het achterliggende netwerk aan te vallen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld.

Eerder dit jaar werd bekend dat aanvallers actief misbruik van de kwetsbaarheid maken. Recentelijk meldde securitybedrijf Cyfirma dat het meer dan 80.000 kwetsbare Hikvision-camera's op internet had gevonden, waaronder bijna 2300 in Nederland (pdf). Hoewel de kwetsbaarheid niet direct de producten van QNAP raakt, heeft de NAS-fabrikant wel besloten om vandaag een waarschuwing af te geven en roept gebruikers op om hun Hikvision-camera's te updaten.