Vulnerabilidad en la implementación ONVIF de Dahua descubierta por investigadores cibernéticos

Los atacantes podrían abusar de la vulnerabilidad para acceder a las cámaras de Dahua con privilegios completos, incluida la visualización de imágenes de video en vivo.

La firma de seguridad cibernética Nozomi Networks reveló recientemente que había descubierto una nueva vulnerabilidad que afectaba la implementación de un mecanismo de autenticación del Open Network Video Interface Forum (ONVIF) en algunas cámaras IP desarrolladas por Dahua Technology.

Según una publicación de blog de los expertos cibernéticos, los atacantes podrían abusar de esta vulnerabilidad para comprometer las cámaras de red de Dahua al oler una interacción ONVIF anterior sin cifrar y reproducir las credenciales en una nueva solicitud hacia la cámara.

ONVIF es un foro abierto de la industria que proporciona y promueve interfaces estandarizadas para una interoperabilidad efectiva de los productos de seguridad física basados ​​en IP.

Para la comunicación entre productos, ONVIF  F envía solicitudes a través de mensajes XML SOAP a través de HTTP. Un mecanismo de autenticación que utiliza ONVIF es WS-UsernameToken, que se basa en la transmisión del nombre de usuario para un usuario certificado, nonce (un número único aleatorio generado por un cliente), creado (el UtcTime cuando se realiza la solicitud) y una contraseña para autenticar una solicitud.

En su investigación, Nozomi Networks pudo falsificar una solicitud CreateUsers para agregarla a una cámara de red domo IPC-HDBW2231E-S-S2 como administrador controlado por un atacante. Luego pudo detectar una solicitud ONVIF sin cifrar autenticada con el esquema WS-UsernameToken.

Después de crear el administrador controlado por el atacante, los investigadores pudieron usar la cuenta para acceder al dispositivo Dahua con todos los privilegios, incluida la visualización de imágenes en vivo de la cámara.

La firma dice que rastrear una solicitud ONVIF sin cifrar autenticada con el esquema WS-UsernameToken no es una condición poco común debido a las siguientes razones:

1. WS-UsernameToken todavía se usa de forma predeterminada en muchos clientes populares de ONVIF, como ONVIF Device Manager o DSE VMS.
2. De manera predeterminada, el IPC-HDBW2231E-S-S2 (al igual que otros dispositivos Dahua) no expone un servicio HTTPS y todas las interacciones de ONVIF ocurren a través de HTTP sin cifrar.

Nozomi Networks dice que en el mundo real, los propietarios de activos no deberían usar las credenciales de WS predeterminadas y usar HTTPS para conexiones seguras para evitar que ocurra un ataque de este tipo.

Tras la notificación de la vulnerabilidad, Dahua lanzó un parche a fines de junio. Puedes encontrar la actualización aquí .

SSI se ha comunicado con Dahua para hacer comentarios.