Базирующаяся в Калифорнии компания Dahua Technology USA в срочном порядке уничтожает бэкдоры в производимых ею видеорегистраторах, IP-камерах и системах ТВ-наблюдения.

Вендор начал обновлять прошивки в минувший понедельник. ИБ-служба Dahua проверяет другие модели выпускаемых устройств и, по заявлению компании, будет предоставлять патчи, если возникнет такая необходимость.

Бэкдор обнаружил в конце прошлой недели независимый исследователь Bashis; PoC-код для автоматизации атак был опубликован им через email-рассылку Full Disclosure на SecLists.org. «У меня нет слов, даже не знаю, что написать, — комментирует Bashis свою находку. — Я (почти) не верю своим глазам. Только что обнаружил (убежден, что именно бэкдор) в Dahua DVR/NVR/IPC и, возможно, всех клонах».

По настоятельной просьбе Dahua исследователь удалил свой PoC с SecLists.org, но пообещал вернуть эту запись через месяц, 5 апреля, чтобы вендор успел решить проблему.

Bashis, раскрывший в прошлом году критический баг переполнения буфера в NAS QNAP и возможность удаленного использования ошибки форматирования строки в устройствах Axis Communications, заявил, что всегда делится с коллегами подобными находками, прежде чем уведомить вендора. «Просто не хочу выслушивать их неубедительные отговорки и увещевания в попытках заставить меня утаить информацию от сообщества», — пишет исследователь.

Бэкдор, который Dahua расценила как уязвимость, присутствует в ряде ее видеокамер стандарта HDCVI, а также в IP-камерах и DVR. В письме, разосланном в понедельник клиентам и партнерам, компания сообщает, что ее специалисты по ИБ «изолировали небольшой фрагмент кода», повинный в уязвимости, и разрабатывают патчи для затронутых устройств.

В этом письменном обращении Dahua также попыталась приуменьшить значение проблемы, подчеркнув, что бэкдор отнюдь не является следствием вредоносной атаки на конкретную установку. По словам вендора, он был выявлен благодаря Bashis, который «проводил независимое тестирование продуктов для наблюдения, производимых разными вендорами».

Как пишет сам Bashis, наличие бэкдора позволяет получить удаленный административный доступ к устройству без авторизации. Если злоумышленнику доступен специфический URL, он сможет с легкостью удалить, добавить или изменить учетную запись администратора либо сбросить пароль. Атакующий сможет также скопировать конфигурационный файл, базу данных пользователей, содержащую «все идентификаторы и разрешения», имя пользователя и хэш пароля и использовать их для осуществления удаленного входа в систему. «Как в плохом голливудском фильме: нажимаешь кнопку, и ты уже внутри», — поражается Bashis.

Если бэкдором так легко воспользоваться, как пишет исследователь, продукты Dahua должны быть привлекательной мишенью для Mirai, тем более что ныне этот зловред также распространяется с нового Windows-ботнета.

Точное количество затронутых продуктов Dahua пока не определено. На настоящий момент обновлены прошивки для 11 моделей — трех DVR и восьми IP-камер; возможно, в следующем месяце этот список увеличится.

Напомним, IoT-устройства Dahua упоминались в августовском отчете Level 3 Communications и Flashpoint, посвященном ботнетам BASHLITE. Согласно статистике, представленной исследователями, в DDoS-атаках с таких ботнетов зачастую участвуют зараженные DVR производства Dahua.

Категории: Главное, Уязвимости