Технология • 08 Шілде, 2022

Hikvision камераларының осал екенін анықтады

158 рет
көрсетілді
2 мин
оқу үшін

«Мемлекеттік техникалық қызмет» АҚ Компьютерлік инциденттерге әрекет ету қызметі (KZ-CERT) Интернеттің қазақстандық сегментін ақпараттық қауіпсіздік қатерлері тұрғысынан мониторингтеу барысында CVE-2017-7921, CVE-2017-7923 және CVE-2021-36260 сәйкестендіргіштері осалдықтарына ықтимал бейімді 100-ден астам Hikvision IP-камерасын айқындады.

Hikvision камераларының осал екенін анықтады

Hikvision камераларындағы CVE-2017-7921 және CVE-2017-7923 осалдықтары өзін аутентификациясыз пайдаланушының бапталған кез келген есептік жазбасы ретінде көрсетуге мүмкіндік береді. Осалдық Hikvision өнімдерінде 2014 жылдан бері орын алуда. Толық әкімшілік қолжетімділік алудан басқа, осы осалдықтарды барлық баптау жүргізілген пайдаланушылар үшін парольдерді мәтіндік түрде алу үшін пайдалану мүмкіндігі олардың ерекшелігі болып саналады.

Ал ақпараттық қауіпсіздік жөніндегі мамандар өткен жылы айқындаған CVE-2021-36260 осалдығы зиянкеске шектелмеген мүмкіндіктермен құрылғыны толық бақылауға алуға мүмкіндік туғызады да құрылғы иеленушісіне қарағанда, едәуір артығырақ қолжетімділік береді. Бұл иеленушіге алдын ала белгіленіп, негізінен шектелген ақпараттық командалардың жинағы бойын­ша кіріс деректерді фильтрлейтін «қорғалған қауыздың» ғана қолжетімді болуына байланысты. IP-камераны толық жария етумен қатар, ішкі желілерге қолжетімділік алып, бірнеше зиянды іс-әрекетті орындауға болады. Бұл Hikvision камераларының үлкен санын қозғайтын, түпнұсқалылықты тексермей (RCE) кодты қашықтықтан орындау осалдығы үшін ең жоғары маңыздылық деңгейі.

Осы камераларды маңызды объектілерде өрістетуді ескере отырып, тіпті аса маңызды инфрақұрылымға қатер төнеді. 2016 жылы шығарылған бағдарламаны тестілеу жүргізіліп, осал деп танылды.

KZ-CERT сарапшылары Қазақстан азаматтары дербес деректерінің таралу тәуекелдеріне, сондай-ақ қазақстандықтардың тіршілік әрекетіне жағымсыз әсер етуі мүмкін басқа да АҚ инциденттеріне жол бермеу үшін құрылғылардың иеленушілеріне арналған қажетті жаңартуларды жүргізуге табандылықпен ұсыным береді.

Өз кезегінде KZ-CERT қажетті жаңартуларды қолдану ұсынымдары жөнінде IP-мекенжайларының иеленушілерін хабардар етуде көмек көрсетуге өтініш білдіріп, байланыс операторларын хабарландыру бойынша іс-шаралар жүргізді.

Hikvision компаниясы осалдықтарды жоятын жаңартулармен қауіпсіздік туралы ресми ұсынымдар шығарғанын атап көрсету қажет.