Vulnerabilidad-Crítica-Dahua-CVE-2020-9502

Dahua Vulnerabilidad Crítica CVE-2020-9502

Dahua Security , el segundo mayor fabricante mundial de dispositivos  IoT “Internet de las cosas”, como cámaras de seguridad y grabadoras de vídeo digital (DVR), ha enviado una actualización de software que cierra un enorme agujero de seguridad en una amplia franja de sus productos.

La vulnerabilidad permite que cualquiera pueda pasar por alto el proceso de inicio de sesión para estos dispositivos y hacerse con el control remoto, directo sobre los sistemas vulnerados. Este código disponible en-línea (Internet) permite que cualquiera pueda bajarlo y explotar este error y comandar un gran número de dispositivos IO.

Descripción del análisis

Algunos productos Dahua con tiempo de compilación antes de diciembre de 2019 tienen vulnerabilidades predecibles de ID de sesión. Durante el acceso normal de un usuario, un atacante puede utilizar la ID de sesión prevista para construir un paquete de datos para atacar el dispositivo.

Puntuación base: 9.8 CRÍTICO
Vector: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H

Productos Dahua Afectados y Software de Reparación

Actualmente se sabe que las siguientes series de productos y modelos están afectados:

Serie IPC-HX2XXX

Versiones que se compilan antes de diciembre de 2019

DH_IPC-HX25 (8) XX-Molec_MultiLang_PN_V2.800.0000000.15.R.200313

General_IPC-HX25 (8) XX-Molec_MultiLang_PN_V2.800.0000000.15.R.200313

DH_IPC-HX25 (8) XX-Molec_MultiLang_NP_V2.800.0000000.15.R.200313

General_IPC-HX25 (8) XX-Molec_MultiLang_NP_V2.800.0000000.15.R.200313

Serie IPC-HXXX5X4X

Versiones que se compilan antes de diciembre de 2019

DH_IPC-HX5XXX-Volt_MultiLang_PN_Stream3_V2.800.0000000.12.R.200319

DH_IPC-HX5XXX-Volt_MultiLang_NP_Stream3_V2.800.0000000.12.R.200319

DH_IPC-HX5XXX-Volt_MultiLang_PN_Stream3_V2.800.0000000.12.R.200319

DH_IPC-HX5XXX-Volt_MultiLang_NP_Stream3_V2.800.0000000.12.R.200319

IPC-HX5842H

Versiones que se compilan antes de diciembre de 2019

DH_IPC-HX8XXX-Nobel_MultiLang_PN_Stream3_V2.800.0000000.5.R.200324

DH_IPC-HX8XXX-Nobel_MultiLang_NP_Stream3_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_PN_Stream3_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_NP_Stream3_V2.800.0000000.5.R.200324

TAMBIEN TE PUEDE INTERESAR:  Switches Administrados vs Switches No Administrados

IPC-HX7842H

Versiones que se compilan antes de diciembre de 2019

DH_IPC-HX8XXX-Nobel_MultiLang_NP_V2.800.0000000.5.R.200324

DH_IPC-HX8XXX-Nobel_MultiLang_PN_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_NP_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_PN_V2.800.0000000.5.R.200324

Serie NVR 5x

Versiones que se compilan antes de diciembre de 2019

DH_NVR5XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
General_NVR5XXX-4KS2_Chn_V4.001.0000000.1.R.200319
General_NVR5XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
General_NVR5XXX-4KS2_Eng_V4.001.0000000.1.R.200319
DH_NVR5XXX-4KS2_Chn_V4.001.0000000. 1.R.200319

Serie NVR 4x

Versiones que se compilan antes de diciembre de 2019

General_NVR4XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
DH_NVR4XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319
General_NVR4XXX-4KS2_Chn_V4.001.0000000.1.R.200319
General_NVR4XXX-4KS2_Eng_V4.001.0000000.1.R.200319
DH_NVR4XXX-4KS2_Chn_V4.001.0000000. 1.R.200319

Serie SD6AL

Versiones que se compilan antes de diciembre de 2019

DH_SD-Prometheus_MultiLang_PN_Stream3_V2.800.0000009.3.R.200331

DH_SD-Prometheus_Chn_PN_Stream3_V2.800.0000009.3.R.200331

General_SD-Prometheus_MultiLang_NP_Stream3_V2.800.0000009.3.R.200331

General_SD-Prometheus_Chn_PN_Stream3_V2.800.0000009.3.R.200331

DH_SD-Prometheus_MultiLang_NP_Stream3_V2.800.0000009.3.R.200331

General_SD-Prometheus_MultiLang_PN_Stream3_V2.800.0000009.3.R.200331

Serie SD5A

Serie SD1A

Serie PTZ1A

Serie SD50 / 52C

IPC-HFW1431S

Versiones que se compilan antes de diciembre de 2019

DH_IPC-HX2X3X-Rhea_MultiLang_NP_Stream2_V2.800.0000015.0.R.200430
DH_IPC-HX2X3X-Rhea_MultiLang_PN_Stream2_V2.800.0000015.0.R.200430
General_IPC-HX2X3X-Rhea_Eng_NP_Stream2_V2.800.0000015.0.R.200430
General_IPC-HX2X3X-Rhea_Eng_PN_Stream2_V2.800.0000015.0.R .200430

Nota: Inicie sesión en la interfaz web del dispositivo para ver el tiempo de compilación, que puede encontrar en la página Configuración-Información del sistema-Información de la versión (configuración-sistema-versión).

Descarga del Software de Reparación

Descargue el software de reparación correspondiente o su versión más reciente como se indica en la tabla anterior desde el sitio web de Dahua, o comuníquese con el soporte técnico local de Dahua para actualizar.

● Actualización en la nube: los productos Dahua tienen la capacidad de actualización en la nube. Las versiones de reparación relevantes se pueden obtener mediante la actualización en la nube.

● Sitio web oficial de Dahua: continente: https://www.dahuasecurity.com/support/downloadCenter

● Personal de asistencia técnica de Dahua

Recursos de apoyo de Dahua:

Para cualquier pregunta o preocupaciones relacionadas con nuestros productos y soluciones, por favor, póngase en contacto con Dahua DHCC en cybersecurity@dahuatech.com .

Felipe Argüello
Felipe Argüello

Felipe Arguello es un reconocido ingeniero especializado en sistemas de seguridad electrónica con una trayectoria de más de 30 años. Con un enfoque multidisciplinario, respaldado por su educación en Ingeniería Civil, Protección Contra Incendios, y múltiples certificaciones profesionales, ha liderado la implementación de soluciones de seguridad integral de importantes corporaciones en más de 25 países de América y Europa.

Artículos: 929

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *