Contraseñas de inicio de sesión siguen almacenadas en el motor de búsqueda ZoomEye IoT para decenas de miles de DVR Dahua
Un investigador de seguridad descubrió que el motor de búsqueda de IoT ZoomEye tiene contraseñas de inicio de sesión en caché para decenas de miles de DVR Dahua.
El motor de búsqueda de IoT ZoomEye tiene contraseñas de entrada en caché para decenas de miles de DVR Dahua, el descubrimiento fue realizado por el investigador de seguridad Ankit Anubhav, investigador principal de NewSky Security.
Anubhav explicó que las contraseñas están relacionadas con los DVR Dahua que ejecutan un firmware muy antiguo que se sabe que se ve afectado por una vulnerabilidad de cinco años rastreada como CVE-2013-6117.
DVR Dahua ejecuta firmware antiguo
Incluso si la vulnerabilidad ha sido parchada, muchos dispositivos Dahua aún ejecutan firmware antiguo.
El CVE-2013-6117 fue descubierto por el experto en seguridad Jake Reynolds y afecta a Dahua DVR 2.608.0000.0 y 2.608.GV00.0. El error podría ser explotado por atacantes remotos para eludir la autenticación y obtener información confidencial, incluidas las credenciales de los usuarios, cambiar las contraseñas de los usuarios, borrar los archivos de registro y ejecutar otras acciones a través de una solicitud al puerto TCP 37777.
Un atacante solo necesita iniciar una conexión TCP sin formato en un DVR Dahua vulnerable en el puerto 37777 para enviar el código de explotación que desencadena el problema.
Una vez que el dispositivo Dahua recibe este código, responderá con las credenciales DDNS para acceder al dispositivo y a otros datos, todo en texto sin formato.
Anubhav explicó que ZoomEye escanea el puerto 37777 guardando el resultado en texto plano, esto significa que todos los que tienen una cuenta de ZoomEye pueden desechar los resultados para obtener las credenciales de decenas de miles.
Anubhav notificó el problema a ZoomEye pidiéndole que elimine las contraseñas de sus resultados almacenados en caché, pero el experto aún está esperando una respuesta.
El experto explicó que descubrió el problema después de leer una publicación publicada por el autor del malware BrickerBot IoT que explotó la falla del hackeo pirateado de los DVRs Dahua en el pasado.
Con apenas tres intentos de búsqueda en ZoomEye, Catalin Cimpanu de Bleeping Computer encontró unos 30,000 dispositivos Dahua vulnerables: aproximadamente "15,800 dispositivos Dahua con una contraseña de 'admin', más de 14,000 con una contraseña de '123456' y más de 600 con una contraseña de ' contraseña'."
Los usuarios de Dahua deben actualizar su firmware
Si tiene un dispositivo Dahua y no tiene idea de qué firmware está ejecutando, Dahua Technology recomendó encontrar el número de modelo en su dispositivo e ingresarlo en la herramienta de búsqueda de firmware o utilizando el kit de herramientas de firmware del DVR que se puede descargar desde el mismo página.
De lo contrario, como señaló Anubhav, también podría decir adiós a los dispositivos que ejecutan firmware vulnerable antiguo cuando hay sitios como las credenciales de caché de ZoomEye y hacer que los dispositivos de IoT de piratería sean aún más fáciles.
Buen Dia FELIPE ARGUELLO,
Muy buen Aporte. Queria preguntarle si actualmente los DVR Dahua tienen estos inconvenientes de vulnerabilidad y que puerto TCP y UPD es el adecuado en su configuracion.
Estimado Andrés.
Los boletines de vulnerabilidades de los productos de Dahua los puedes conseguir en la propia pagina de Dahua en el siguiente enlace: https://www.dahuasecurity.com/support/cybersecurity/annoucementNotice
También podrás encontrarlos en: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Dahua
En cuanto a la recomendación de los puertos TCP y UDP a utilizar en realidad, lo que podría recomendar es usar un puerto diferente al 37777 o no usar los puertos de fábrica que usa Dahua en sus equipos para evitar precisamente los problemas causados por estas vulnerabilidades.
Si tienes alguna otra pregunta, estoy a tus órdenes.
Saludos;