Уразливості в мережевих камерах Hikvision
23:55 26.03.201522.08.2014
Сьогодні я знайшов уразливості в різних моделях мережевих камер Hikvision. Це IP Camera та DVR пристрої. Зокрема Brute Force та Abuse of Functionality уразливості.
Уразливі моделі: Hikvision DS-2CD2412F-IW, DS-2CD2412F-I, DS-7204HWI-SH, DS-2CD2412F-IW, DS-2CD2012-I, DS-2CD2232-I5, DS-7108HWI-SH, DS-2CD7153-E, DS-2CD2132-I, DS-2DF5284-A.
Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-7204HWI-SH.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
26.03.2015
Abuse of Functionality (WASC-42):
Логін постійний: admin.
Brute Force (WASC-11):
В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.
Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.
Розробники вже виправили Brute Force уразливість.