Las cámaras IP Wi-Fi de Hikvision se asocian a un SSID deshonesto no cifrado predeterminado en una configuración cableada.
Revelación completa de acuerdo con la Base de Datos de Vulnerabilidades CVE-2017-14953
27 de noviembre de 2017
Sinopsis: SSID Davinci
Las cámaras IP HikVision Wi-Fi vienen con un SSID predeterminado «davinci», sin cifrado WiFi o autenticación.
Dependiendo de la versión del firmware, no hay una opción de configuración dentro de la cámara para desactivar el Wi-Fi. Si una cámara se implementa a través de una red ethernet cableada, la configuración de WiFi no se desactivará, y un AP deshonesto con el SSID «davinci» se puede asociar a la cámara para proporcionar un nuevo vector de ataque a través de WiFi.
Riesgo:
—
La exposición de seguridad proporciona una superficie de ataque inesperada a través de Wi-Fi en una cámara desplegada en un entorno con cable.
A través de la interfaz web:
Los dispositivos que ejecutan un firmware anterior a v5.4.5 pueden ser atacados a través de un bypass de control de acceso. http://seclists.org/fulldisclosure/2017/Sep/23
La cámara también hará un DHCP en su interfaz inalámbrica, por lo que la subred AP deshonesta obtendría preferencia frente a un NVR / visor L3 adyacente, realizando una denegación de servicio.
Mitigación:
—
Ya que el Wi-Fi no se puede desactivar, la atenuación es especificar una clave WPA2-PSK AES compleja. Con esto la cámara
intentará asociarse a un PSK inalámbrico que no existe, y es poco probable que el atacante adivine la clave compleja.
Configuración -> Red -> Configuración avanzada -> Wi-Fi
Establezca el modo de seguridad en: «WPA2-personal»
Establezca el tipo de cifrado en: «AES»
Establezca la clave 1 en: una cadena larga aleatoria de caracteres
Habilite WPS: desmarque los detalles de vulnerabilidad:
—
Número de modelo probado (confirmado): DS-2CD2432F-IW
Versiones de firmware probadas ( Confirmado): 5.3.0, 5.4.0, 5.4.5
Exploit: la cámara está cableada a través de ethernet. Wi-Fi no está configurado (por defecto).
Configure un punto de acceso Wi-Fi deshonesto con un SSID de «davinci» sin encriptación.
La cámara se asociará con el punto de acceso deshonesto. No hay una opción de configuración para que el administrador
desactive WiFi. Si el punto de acceso deshonesto ofrece DHCP, la cámara obtendrá una dirección dinámica y será accesible de forma remota
Rango de Wi-Fi Combinado con exploits de firmware previos, un atacante podría explotar o deshabilitar remotamente la cámara simplemente
estando dentro del alcance de Wi-Fi. El ataque también elude cualquier seguridad de red cableada que se haya implementado en
ese segmento, como Firewalls, ACL, y que apaga UPnP.
Cronología:
—
1 de junio de 2017 – Reportado a security.usa () hikvision com – Sin respuesta
6 de junio de 2017 – Reportado nuevamente a security.usa () hikvision com – Sin respuesta
29 de septiembre de 2017 – Reportado nuevamente a la seguridad. usa () hikvision com – Sin respuesta
29 de septiembre de 2017 – Reportado a techsupport.usa () hikvision com – Respuesta automatizada solamente – Sin seguimiento
29 de septiembre de 2017 – Reportado al CERT. Seguimiento como VU # 768573.
29 de septiembre de 2017 – Reportado a MITRE. Asignado CVE-2017-14953.
3 de octubre de 2017 – Reportado a ICS-CERT por recomendación de CERT – Sin respuesta.
3 de octubre de 2017 – Hikvision responde.
27 de noviembre de 2017 – Fecha de divulgación mutuamente acordada. Detalles de exposición publicados en la
lista de distribución de divulgación completa.
Números de modelo de cámara posiblemente afectados (Wi-Fi) [sin confirmar]:
DS-2CD2112F-IWS
DS-2CD2132F-IWS
DS-2CD2522FWD-IWS
DS-2CD2542FWD-IWS
DS-2CD2412F-IW
DS-2CD2422FWD-IW
DS-2CD2432F-IW
DS -2CD2023G0D-IW2
DS-2CD2123G0D-IW2
DS-2DE2204IW-DE3 / W
Productos remarcados (OEM) posiblemente afectados [no confirmados]:
Cámara IP ANNKE I61DR 2MP 1080P HD Audio bidireccional
Nombre de Amazon: Cámara inalámbrica CUB de ANNKE Cámara IP de red WiFi 1080P de 2,0 megapíxeles
Puede conseguir mayor información en el siguiente Boletin: Boletin US-CERT SB17-338