Dahua Security , el segundo mayor fabricante mundial de dispositivos IoT “Internet de las cosas”, como cámaras de seguridad y grabadoras de vídeo digital (DVR), ha enviado una actualización de software que cierra un enorme agujero de seguridad en una amplia franja de sus productos.
La vulnerabilidad permite que cualquiera pueda pasar por alto el proceso de inicio de sesión para estos dispositivos y hacerse con el control remoto, directo sobre los sistemas vulnerados. Este código disponible en-línea (Internet) permite que cualquiera pueda bajarlo y explotar este error y comandar un gran número de dispositivos IO.
Descripción del análisis
Algunos productos Dahua con tiempo de compilación antes de diciembre de 2019 tienen vulnerabilidades predecibles de ID de sesión. Durante el acceso normal de un usuario, un atacante puede utilizar la ID de sesión prevista para construir un paquete de datos para atacar el dispositivo.
Puntuación base: 9.8 CRÍTICO
Vector: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H
Productos Dahua Afectados y Software de Reparación
Actualmente se sabe que las siguientes series de productos y modelos están afectados:
Serie IPC-HX2XXX
Versiones que se compilan antes de diciembre de 2019
DH_IPC-HX25 (8) XX-Molec_MultiLang_PN_V2.800.0000000.15.R.200313
General_IPC-HX25 (8) XX-Molec_MultiLang_PN_V2.800.0000000.15.R.200313
DH_IPC-HX25 (8) XX-Molec_MultiLang_NP_V2.800.0000000.15.R.200313
General_IPC-HX25 (8) XX-Molec_MultiLang_NP_V2.800.0000000.15.R.200313
Serie IPC-HXXX5X4X
Versiones que se compilan antes de diciembre de 2019
DH_IPC-HX5XXX-Volt_MultiLang_PN_Stream3_V2.800.0000000.12.R.200319
DH_IPC-HX5XXX-Volt_MultiLang_NP_Stream3_V2.800.0000000.12.R.200319
DH_IPC-HX5XXX-Volt_MultiLang_PN_Stream3_V2.800.0000000.12.R.200319
DH_IPC-HX5XXX-Volt_MultiLang_NP_Stream3_V2.800.0000000.12.R.200319
IPC-HX5842H
Versiones que se compilan antes de diciembre de 2019
DH_IPC-HX8XXX-Nobel_MultiLang_PN_Stream3_V2.800.0000000.5.R.200324
DH_IPC-HX8XXX-Nobel_MultiLang_NP_Stream3_V2.800.0000000.5.R.200324
General_IPC-HX8XXX-Nobel_MultiLang_PN_Stream3_V2.800.0000000.5.R.200324
General_IPC-HX8XXX-Nobel_MultiLang_NP_Stream3_V2.800.0000000.5.R.200324
IPC-HX7842H
Versiones que se compilan antes de diciembre de 2019
DH_IPC-HX8XXX-Nobel_MultiLang_NP_V2.800.0000000.5.R.200324
DH_IPC-HX8XXX-Nobel_MultiLang_PN_V2.800.0000000.5.R.200324
General_IPC-HX8XXX-Nobel_MultiLang_NP_V2.800.0000000.5.R.200324
General_IPC-HX8XXX-Nobel_MultiLang_PN_V2.800.0000000.5.R.200324
Serie NVR 5x
Versiones que se compilan antes de diciembre de 2019
DH_NVR5XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
General_NVR5XXX-4KS2_Chn_V4.001.0000000.1.R.200319
General_NVR5XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
General_NVR5XXX-4KS2_Eng_V4.001.0000000.1.R.200319
DH_NVR5XXX-4KS2_Chn_V4.001.0000000. 1.R.200319
Serie NVR 4x
Versiones que se compilan antes de diciembre de 2019
General_NVR4XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
DH_NVR4XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
General_NVR4XXX-4KS2_Chn_V4.001.0000000.1.R.200319
General_NVR4XXX-4KS2_Eng_V4.001.0000000.1.R.200319
DH_NVR4XXX-4KS2_Chn_V4.001.0000000. 1.R.200319
Serie SD6AL
Versiones que se compilan antes de diciembre de 2019
DH_SD-Prometheus_MultiLang_PN_Stream3_V2.800.0000009.3.R.200331
DH_SD-Prometheus_Chn_PN_Stream3_V2.800.0000009.3.R.200331
General_SD-Prometheus_MultiLang_NP_Stream3_V2.800.0000009.3.R.200331
General_SD-Prometheus_Chn_PN_Stream3_V2.800.0000009.3.R.200331
DH_SD-Prometheus_MultiLang_NP_Stream3_V2.800.0000009.3.R.200331
General_SD-Prometheus_MultiLang_PN_Stream3_V2.800.0000009.3.R.200331
Serie SD5A
Serie SD1A
Serie PTZ1A
Serie SD50 / 52C
IPC-HFW1431S
Versiones que se compilan antes de diciembre de 2019
DH_IPC-HX2X3X-Rhea_MultiLang_NP_Stream2_V2.800.0000015.0.R.200430
DH_IPC-HX2X3X-Rhea_MultiLang_PN_Stream2_V2.800.0000015.0.R.200430
General_IPC-HX2X3X-Rhea_Eng_NP_Stream2_V2.800.0000015.0.R.200430
General_IPC-HX2X3X-Rhea_Eng_PN_Stream2_V2.800.0000015.0.R .200430
Nota: Inicie sesión en la interfaz web del dispositivo para ver el tiempo de compilación, que puede encontrar en la página Configuración-Información del sistema-Información de la versión (configuración-sistema-versión).
Descarga del Software de Reparación
Descargue el software de reparación correspondiente o su versión más reciente como se indica en la tabla anterior desde el sitio web de Dahua, o comuníquese con el soporte técnico local de Dahua para actualizar.
● Actualización en la nube: los productos Dahua tienen la capacidad de actualización en la nube. Las versiones de reparación relevantes se pueden obtener mediante la actualización en la nube.
● Sitio web oficial de Dahua: continente: https://www.dahuasecurity.com/support/downloadCenter
● Personal de asistencia técnica de Dahua
Recursos de apoyo de Dahua:
Para cualquier pregunta o preocupaciones relacionadas con nuestros productos y soluciones, por favor, póngase en contacto con Dahua DHCC en cybersecurity@dahuatech.com .
