Una nueva vulnerabilidad CVE-2022-30563 que afecta a las cámaras Dahua IP puede permitir a los atacantes tomar el control de las cámaras IP.
El problema afecta la implementación de Dahua del Open Network Video Interface Forum (ONVIF).
ONVIF proporciona y promueve interfaces estandarizadas para una interoperabilidad efectiva de los productos de seguridad física basados en IP.
La vulnerabilidad fue descubierta por investigadores de Nozomi Networks y recibió una puntuación CVSS de 7,4.

“Estamos publicando los detalles de una nueva vulnerabilidad (seguida bajo CVE-2022-30563) que afecta la implementación del mecanismo de autenticación WS-UsernameToken del Open Network Video Interface Forum (ONVIF) en algunas cámaras IP desarrolladas por Dahua, un fabricante muy popular de soluciones de vigilancia basadas en IP”.
Lea el aviso publicado por Nozomi Networks.
“Los atacantes podrían abusar de esta vulnerabilidad para comprometer las cámaras de red olfateando una interacción ONVIF anterior sin cifrar y reproduciendo las credenciales en una nueva solicitud hacia la cámara”.
Los productos compatibles con ONVIF permiten a los usuarios realizar una variedad de acciones en el dispositivo remoto a través de un conjunto de interfaces de programación de aplicaciones (API) estandarizadas, que incluyen ver imágenes de cámaras, bloquear o desbloquear una puerta inteligente y realizar operaciones de mantenimiento.
La falla reside en el mecanismo de autenticación “ WS-UsernameToken ” implementado por Dahua en algunas de sus cámaras IP.
Debido a la falta de controles para evitar ataques de respuesta, un actor de amenazas puede olfatear una interacción ONVIF sin cifrar y reproducir indefinidamente las credenciales en nuevas solicitudes hacia la cámara, que el dispositivo aceptaría como solicitudes autenticadas válidas.
Una vez obtenidas las credenciales, un atacante puede agregar una cuenta de administrador y usarla para obtener acceso completo al dispositivo y realizar acciones como ver imágenes en vivo de la cámara, como se muestra a continuación.
Un atacante puede realizar este ataque capturando una solicitud ONVIF sin cifrar autenticada con el esquema WS-UsernameToken.

Cámaras Dahua afectadas
Las siguientes versiones de cámaras Dahua se ven afectadas :
- Dahua ASI7XXX: Versiones anteriores a v1.000.0000009.0.R.220620
- Dahua IPC-HDBW2XXX: Versiones anteriores a v2.820.0000000.48.R.220614
- Dahua IPC-HX2XXX: Versiones anteriores a v2.820.0000000.48.R.220614
El proveedor solucionó el problema con el lanzamiento de un parche el 28 de junio de 2022,
“Además de la seguridad de los edificios, las cámaras de vigilancia se utilizan en muchos sectores de infraestructura crítica, como petróleo y gas, redes eléctricas, telecomunicaciones, etc. Estas cámaras se utilizan para supervisar muchos procesos de producción, proporcionando visibilidad remota a los ingenieros de procesos.
Los actores de amenazas, en particular los grupos de amenazas de los estados nacionales, podrían estar interesados en piratear cámaras IP para ayudar a recopilar información sobre el equipo o los procesos de producción de la empresa objetivo”. concluye Nozomi.
“Esta información podría ayudar en el reconocimiento realizado antes de lanzar un ataque cibernético. Con más conocimiento del entorno objetivo, los actores de amenazas podrían crear ataques personalizados que pueden interrumpir físicamente los procesos de producción en la infraestructura crítica”.
Si desea obtener mayor información sobre medidas adoptadas por Dahua a este respecto, por favor visite la página:
https://www.dahuasecurity.com/support/cybersecurity/details/1017