Уразливості в мережевих камерах Hikvision

23:55 26.03.2015

22.08.2014

Сьогодні я знайшов уразливості в різних моделях мережевих камер Hikvision. Це IP Camera та DVR пристрої. Зокрема Brute Force та Abuse of Functionality уразливості.

Уразливі моделі: Hikvision DS-2CD2412F-IW, DS-2CD2412F-I, DS-7204HWI-SH, DS-2CD2412F-IW, DS-2CD2012-I, DS-2CD2232-I5, DS-7108HWI-SH, DS-2CD7153-E, DS-2CD2132-I, DS-2DF5284-A.

Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-7204HWI-SH.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

26.03.2015

Abuse of Functionality (WASC-42):

Логін постійний: admin.

Brute Force (WASC-11):

В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.

Розробники вже виправили Brute Force уразливість.


Leave a Reply

You must be logged in to post a comment.