DVR Dahua: siguen los problemas de seguridad CVE-2013-6117.

Vulnerabilidades en DVRs Dahua
Vulnerabilidades en DVRs Dahua

Contraseñas de inicio de sesión siguen almacenadas en el motor de búsqueda ZoomEye IoT para decenas de miles de DVR Dahua

Un investigador de seguridad descubrió que el motor de búsqueda de IoT ZoomEye tiene contraseñas de inicio de sesión en caché para decenas de miles de DVR Dahua.

El motor de búsqueda de IoT ZoomEye  tiene contraseñas de entrada en caché para decenas de miles de DVR Dahua, el descubrimiento fue realizado por el investigador de seguridad Ankit Anubhav, investigador principal de  NewSky Security.

Anubhav explicó que las contraseñas están relacionadas con los DVR Dahua que ejecutan un firmware muy antiguo que se sabe que se ve afectado por una vulnerabilidad de cinco años rastreada como  CVE-2013-6117.

DVR Dahua ejecuta firmware antiguo

Incluso si la vulnerabilidad ha sido parchada, muchos dispositivos Dahua aún ejecutan firmware antiguo.

El CVE-2013-6117 fue descubierto por el experto en seguridad Jake Reynolds y afecta a Dahua DVR 2.608.0000.0 y 2.608.GV00.0. El error podría ser explotado por atacantes remotos para eludir la autenticación y obtener información confidencial, incluidas las credenciales de los usuarios, cambiar las contraseñas de los usuarios, borrar los archivos de registro y ejecutar otras acciones a través de una solicitud al puerto TCP 37777.

Un atacante solo necesita iniciar una conexión TCP sin formato en un DVR Dahua vulnerable en el puerto 37777 para enviar el código de explotación que desencadena el problema.

Una vez que el dispositivo Dahua recibe este código, responderá con las credenciales DDNS para acceder al dispositivo y a otros datos, todo en texto sin formato.

Anubhav explicó que ZoomEye escanea el puerto 37777 guardando el resultado en texto plano, esto significa que todos los que tienen una cuenta de ZoomEye pueden desechar los resultados para obtener las credenciales de decenas de miles.

Anubhav notificó el problema a ZoomEye pidiéndole que elimine las contraseñas de sus resultados almacenados en caché, pero el experto aún está esperando una respuesta.

El experto explicó que descubrió el problema después de leer una publicación  publicada por el autor del malware BrickerBot  IoT que explotó la falla del hackeo pirateado de los DVRs Dahua en el pasado.

Con apenas tres intentos de búsqueda en ZoomEye, Catalin Cimpanu de Bleeping Computer encontró unos 30,000 dispositivos Dahua vulnerables: aproximadamente "15,800 dispositivos Dahua con una contraseña de 'admin', más de 14,000 con una contraseña de '123456' y más de 600 con una contraseña de ' contraseña'."

Los usuarios de Dahua deben actualizar su firmware

Si tiene un dispositivo Dahua y no tiene idea de qué firmware está ejecutando, Dahua Technology recomendó encontrar el número de modelo en su dispositivo e ingresarlo en la herramienta de búsqueda de firmware o utilizando el kit de herramientas de firmware del DVR que se puede descargar desde el mismo página.

De lo contrario, como señaló Anubhav, también podría decir adiós a los dispositivos que ejecutan firmware vulnerable antiguo cuando hay sitios como las credenciales de caché de ZoomEye y hacer que los dispositivos de IoT de piratería sean aún más fáciles.

Felipe Argüello
Felipe Argüello

Felipe Argüello es el fundador de Infoteknico. Ingeniero con más de 30 años de experiencia trabajando en América Latina, Estados Unidos y Europa en las áreas de ingeniería, consulta técnica, proyectos, ventas y entrenamiento en soluciones de alta tecnología y seguridad electrónica.

Artículos: 743

2 comentarios

  1. Buen Dia FELIPE ARGUELLO,

    Muy buen Aporte. Queria preguntarle si actualmente los DVR Dahua tienen estos inconvenientes de vulnerabilidad y que puerto TCP y UPD es el adecuado en su configuracion.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *