Descubierta una nueva vulnerabilidad en los firmwares de equipos Dahua

El fabricante Dahua ha hecho públicas dos nuevas vulnerabilidades en sus firmware descubiertas por el investigador de seguridad bashis, que fue quien descubrió el año 2017 un fallo de seguridad que permitía el acceso por el puerto web con permisos de administrador sin necesidad de disponer de una cuenta de usuario válida en el equipo […]

Vulnerabilidad en el acceso P2P en equipos del fabricante Xiongmai (XMEye)

Sec-consult ha hecho pública una vulnerabilidad en el acceso por P2P a los grabadores y cámaras IP del fabricante Xiongmai, un fabricante chino (OEM) poco conocido por su nombre, pero cuyos equipos se venden bajo muchas otras marcas, entre las que se encuentran KMoon, Floureon, Sannce, Wnk, Zmodo, Canavis o Dagro. Es probable que no […]

Vulnerabilidad remota en los equipos TBK DVR4xxx (y otros)

El argentino Ezequiel Fernández (conocido también como Capitan Alfa) ha encontrado una vulnerabilidad (CVE-2018-9995, ampliada posteriormente en CVE-2018-10676) que permite obtener el listado de usuarios y passwords de los grabadores TBK DVR4100 y DVR4200 con solo disponer de acceso remoto al interfaz web. Estos grabadores son equipos OEM que se comercializan a nivel mundial bajo […]

Hikvision soluciona una vulnerabilidad en Hik-connect

Hikvision ha parcheado una vulnerabilidad en su servicio Hik-connect que permitía a cualquier usuario poder conectarse a cuentas de terceros con solo conocer su email, teléfono, o nombre de usuario que hubieran usado a la hora de registrarse. El problema radicaba en que Hik-connect utiliza una cookie local para saber con que usuario se está […]

Fallo de seguridad en unidades WD My Cloud

Se ha hecho público un fallo de seguridad en las unidades My Cloud de Western Digital que permite que cualquiera con acceso a la unidad, sea a través de internet o en red local, pueda autentificarse con un usuario hardcoded que permite el acceso shell al dispositivo con privilegios de usuario root. Las credenciales de […]

Dahua: Como restaurar tu grabador «hackeado» (Sep/2017)

Desde hace más o menos una semana hemos recibido varios reports de grabadores Dahua que aparentemente han dejado de funcionar; no muestran imagen en ninguno de los canales, y en pantalla el nombre de los canales de video es HACKED. Parece ser que hay una nueva oleada de ataques automatizados contra equipos Dahua con firmwares […]