El fabricante Dahua ha hecho públicas dos nuevas vulnerabilidades en sus firmware descubiertas por el investigador de seguridad bashis, que fue quien descubrió el año 2017 un fallo de seguridad que permitía el acceso por el puerto web con permisos de administrador sin necesidad de disponer de una cuenta de usuario válida en el equipo en equipos de 2a y 3a generación.
Estos dos nuevos fallos de seguridad pueden permitir a un atacante saltarse el proceso de autentificación durante el proceso de login a un dispositivo que se encuentre conectado al cloud (P2P) de Dahua utilizando paquetes de datos maliciosos, de modo que de nuevo sería posible conectarse a un equipo con permisos de administrador sin tener credenciales válidas.
El problema en 2017 se daba en aquellos equipos que tenían abierto el puerto web para acceder desde el exterior de la red, pero esta vez afectará a todos los equipos conectados por P2P; a día de hoy, la gran mayoría de los equipos modernos. Según bashis, «potencialmente existe un riesgo muy alto de que se produzca otro hackeo masivo de dispositivos Dahua debido a este bypass de la autentificación – no son necesarias credenciales válidas para obtener permisos de administrador en el dispositivo».
Los detalles técnicos de las vulnerabilidades (CVE-2021-33044 y CVE-2021-33045) no se harán públicos hasta el 6/Oct/21, por lo que es necesario ir actualizando los firmwares de todos aquellos equipos que puedan ser vulnerables.
El listado de dispositivos vulnerables es largo, e incluye firmwares con fecha de compilación de hasta junio de 2021. Los últimos firmwares pueden descargarse desde la sección de descargas de la web de Dahua. Cualquier firmware con fecha posterior a julio de 2021 no estará afectado.
Todos los equipos suministrados por Securame a día de hoy ya son entregados con firmware actualizado, cámaras IP, grabadores XVR y grabadores NVR.
