VS meldt actief misbruik van kwetsbaarheden in Dahua ip-camera's
Aanvallers maken actief misbruik van twee kwetsbaarheden in ip-camera's van fabrikant Dahua, waardoor een ongeauthenticeerde aanvaller op afstand toegang tot de apparaten kan krijgen, zo waarschuwt het cyberagentschap van de Amerikaanse overheid. Het gaat om twee kritieke 'authentication bypass' kwetsbaarheden. Door middel van 'malafide datapakketten' kan een aanvaller die niet over een gebruikersnaam en wachtwoord beschikt toch op de camera's inloggen.
De impact van de twee kwetsbaarheden (CVE-2021-33044 en CVE-2021-33045) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Dahua kwam in september 2021 met updates. Een maand na het verschijnen van de updates verscheen er een extensie voor Google Chrome waarmee gebruikers op kwetsbare ip-camera's kunnen inloggen.
Ondanks de beschikbaarheid van updates en aanwezigheid van exploitcode blijkt dat er nog altijd ip-camera's zijn die niet zijn bijgewerkt. Daarnaast heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security actief misbruik waargenomen. Het cyberagentschap heeft overheidsinstanties opgedragen de updates voor 11 september te installeren.
De fysieke beveiligingswereld is niet zo actief in het updaten van systemen,
Enige aandacht is zeker niet overdreven.
CISA voornaamste doelstelling is de eigen (VS) infrastructuur. Als ze dan 3 jaar post publicatie nog steeds onveilige camera's aantreffen die vermoedelijk worden gebruikt door VS overheidsdiensten dan verspreiden ze een waarschuwing... Dat is hun wettelijke opdracht.
Read before you vomit crap.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
