Dahua Vulnerabilidad Crítica CVE-2020-9502

Dahua Security , el segundo mayor fabricante mundial de dispositivos  IoT “Internet de las cosas”, como cámaras de seguridad y grabadoras de vídeo digital (DVR), ha enviado una actualización de software que cierra un enorme agujero de seguridad en una amplia franja de sus productos.

La vulnerabilidad permite que cualquiera pueda pasar por alto el proceso de inicio de sesión para estos dispositivos y hacerse con el control remoto, directo sobre los sistemas vulnerados. Este código disponible en-línea (Internet) permite que cualquiera pueda bajarlo y explotar este error y comandar un gran número de dispositivos IO.

Descripción del análisis

Algunos productos Dahua con tiempo de compilación antes de diciembre de 2019 tienen vulnerabilidades predecibles de ID de sesión. Durante el acceso normal de un usuario, un atacante puede utilizar la ID de sesión prevista para construir un paquete de datos para atacar el dispositivo.

Puntuación base: 9.8 CRÍTICO
Vector: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H

Productos Dahua Afectados y Software de Reparación

Actualmente se sabe que las siguientes series de productos y modelos están afectados:

Serie IPC-HX2XXX

Versiones que se compilan antes de diciembre de 2019

DH_IPC-HX25 (8) XX-Molec_MultiLang_PN_V2.800.0000000.15.R.200313

General_IPC-HX25 (8) XX-Molec_MultiLang_PN_V2.800.0000000.15.R.200313

DH_IPC-HX25 (8) XX-Molec_MultiLang_NP_V2.800.0000000.15.R.200313

General_IPC-HX25 (8) XX-Molec_MultiLang_NP_V2.800.0000000.15.R.200313

Serie IPC-HXXX5X4X

Versiones que se compilan antes de diciembre de 2019

DH_IPC-HX5XXX-Volt_MultiLang_PN_Stream3_V2.800.0000000.12.R.200319

DH_IPC-HX5XXX-Volt_MultiLang_NP_Stream3_V2.800.0000000.12.R.200319

DH_IPC-HX5XXX-Volt_MultiLang_PN_Stream3_V2.800.0000000.12.R.200319

DH_IPC-HX5XXX-Volt_MultiLang_NP_Stream3_V2.800.0000000.12.R.200319

IPC-HX5842H

Versiones que se compilan antes de diciembre de 2019

DH_IPC-HX8XXX-Nobel_MultiLang_PN_Stream3_V2.800.0000000.5.R.200324

DH_IPC-HX8XXX-Nobel_MultiLang_NP_Stream3_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_PN_Stream3_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_NP_Stream3_V2.800.0000000.5.R.200324

IPC-HX7842H

Versiones que se compilan antes de diciembre de 2019

DH_IPC-HX8XXX-Nobel_MultiLang_NP_V2.800.0000000.5.R.200324

DH_IPC-HX8XXX-Nobel_MultiLang_PN_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_NP_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_PN_V2.800.0000000.5.R.200324

Serie NVR 5x

Versiones que se compilan antes de diciembre de 2019

DH_NVR5XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
General_NVR5XXX-4KS2_Chn_V4.001.0000000.1.R.200319
General_NVR5XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
General_NVR5XXX-4KS2_Eng_V4.001.0000000.1.R.200319
DH_NVR5XXX-4KS2_Chn_V4.001.0000000. 1.R.200319

Serie NVR 4x

Versiones que se compilan antes de diciembre de 2019

General_NVR4XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
DH_NVR4XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
General_NVR4XXX-4KS2_Chn_V4.001.0000000.1.R.200319
General_NVR4XXX-4KS2_Eng_V4.001.0000000.1.R.200319
DH_NVR4XXX-4KS2_Chn_V4.001.0000000. 1.R.200319

Serie SD6AL

Versiones que se compilan antes de diciembre de 2019

DH_SD-Prometheus_MultiLang_PN_Stream3_V2.800.0000009.3.R.200331

DH_SD-Prometheus_Chn_PN_Stream3_V2.800.0000009.3.R.200331

General_SD-Prometheus_MultiLang_NP_Stream3_V2.800.0000009.3.R.200331

General_SD-Prometheus_Chn_PN_Stream3_V2.800.0000009.3.R.200331

DH_SD-Prometheus_MultiLang_NP_Stream3_V2.800.0000009.3.R.200331

General_SD-Prometheus_MultiLang_PN_Stream3_V2.800.0000009.3.R.200331

Serie SD5A

Serie SD1A

Serie PTZ1A

Serie SD50 / 52C

IPC-HFW1431S

Versiones que se compilan antes de diciembre de 2019

DH_IPC-HX2X3X-Rhea_MultiLang_NP_Stream2_V2.800.0000015.0.R.200430
DH_IPC-HX2X3X-Rhea_MultiLang_PN_Stream2_V2.800.0000015.0.R.200430
General_IPC-HX2X3X-Rhea_Eng_NP_Stream2_V2.800.0000015.0.R.200430
General_IPC-HX2X3X-Rhea_Eng_PN_Stream2_V2.800.0000015.0.R .200430

Nota: Inicie sesión en la interfaz web del dispositivo para ver el tiempo de compilación, que puede encontrar en la página Configuración-Información del sistema-Información de la versión (configuración-sistema-versión).

Descarga del Software de Reparación

Descargue el software de reparación correspondiente o su versión más reciente como se indica en la tabla anterior desde el sitio web de Dahua, o comuníquese con el soporte técnico local de Dahua para actualizar.

● Actualización en la nube: los productos Dahua tienen la capacidad de actualización en la nube. Las versiones de reparación relevantes se pueden obtener mediante la actualización en la nube.

● Sitio web oficial de Dahua: continente: https://www.dahuasecurity.com/support/downloadCenter

● Personal de asistencia técnica de Dahua

Recursos de apoyo de Dahua:

Para cualquier pregunta o preocupaciones relacionadas con nuestros productos y soluciones, por favor, póngase en contacto con Dahua DHCC en cybersecurity@dahuatech.com .

Felipe Argüello
Felipe Argüello

Felipe Argüello es el fundador de Infoteknico. Ingeniero con más de 30 años de experiencia trabajando en América Latina, Estados Unidos y Europa en las áreas de ingeniería, consulta técnica, proyectos, ventas y entrenamiento en soluciones de alta tecnología y seguridad electrónica.

Artículos: 743

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *