{"id":6088,"date":"2021-09-08T17:44:10","date_gmt":"2021-09-08T16:44:10","guid":{"rendered":"https:\/\/www.securame.com\/blog\/?p=6088"},"modified":"2021-09-08T17:44:10","modified_gmt":"2021-09-08T16:44:10","slug":"descubierta-una-nueva-vulnerabilidad-en-los-firmwares-de-equipos-dahua","status":"publish","type":"post","link":"https:\/\/www.securame.com\/blog\/descubierta-una-nueva-vulnerabilidad-en-los-firmwares-de-equipos-dahua\/","title":{"rendered":"Descubierta una nueva vulnerabilidad en los firmwares de equipos Dahua"},"content":{"rendered":"

El fabricante Dahua<\/strong> ha hecho p\u00fablicas dos nuevas vulnerabilidades<\/strong><\/a> en sus firmware descubiertas por el investigador de seguridad bashis<\/strong><\/a>, que fue quien descubri\u00f3 el a\u00f1o 2017 un fallo de seguridad que permit\u00eda el acceso por el puerto web con permisos de administrador sin necesidad de disponer de una cuenta de usuario v\u00e1lida en el equipo en equipos de 2a y 3a generaci\u00f3n.<\/p>\n

\"\"<\/a><\/p>\n

Estos dos nuevos fallos de seguridad pueden permitir a un atacante saltarse el proceso de autentificaci\u00f3n durante el proceso de login a un dispositivo que se encuentre conectado al cloud (P2P) de Dahua utilizando paquetes de datos maliciosos, de modo que de nuevo ser\u00eda posible conectarse a un equipo con permisos de administrador sin tener credenciales v\u00e1lidas.<\/p>\n

El problema en 2017 se daba en aquellos equipos que ten\u00edan abierto el puerto web para acceder desde el exterior de la red, pero esta vez afectar\u00e1 a todos los equipos conectados por P2P; a d\u00eda de hoy, la gran mayor\u00eda de los equipos modernos. Seg\u00fan bashis, \u00abpotencialmente existe un riesgo muy alto de que se produzca otro hackeo masivo de dispositivos Dahua<\/strong> debido a este bypass de la autentificaci\u00f3n – no son necesarias credenciales v\u00e1lidas para obtener permisos de administrador en el dispositivo\u00bb.<\/p>\n

\"\"<\/a><\/p>\n

Los detalles t\u00e9cnicos de las vulnerabilidades (CVE-2021-33044<\/strong><\/a> y CVE-2021-33045<\/strong><\/a>) no se har\u00e1n p\u00fablicos hasta el 6\/Oct\/21, por lo que es necesario ir actualizando los firmwares de todos aquellos equipos que puedan ser vulnerables.<\/p>\n

\"\"<\/a>\"\"<\/a>El listado de dispositivos vulnerables es largo, e incluye firmwares con fecha de compilaci\u00f3n de hasta junio de 2021. Los \u00faltimos firmwares pueden descargarse desde la secci\u00f3n de descargas<\/strong><\/a> de la web de Dahua. Cualquier firmware con fecha posterior a julio de 2021 no estar\u00e1 afectado.<\/p>\n

Todos los equipos suministrados por Securame<\/strong> a d\u00eda de hoy ya son entregados con firmware actualizado, c\u00e1maras IP<\/strong><\/a>, grabadores XVR<\/strong><\/a> y grabadores NVR<\/strong><\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

El fabricante Dahua ha hecho p\u00fablicas dos nuevas vulnerabilidades en sus firmware descubiertas por el investigador de seguridad bashis, que fue quien descubri\u00f3 el a\u00f1o 2017 un fallo de seguridad que permit\u00eda el acceso por el puerto web con permisos de administrador sin necesidad de disponer de una cuenta de usuario v\u00e1lida en el equipo […]<\/p>\n","protected":false},"author":1,"featured_media":6089,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[144,9,30,7,91,78],"class_list":["post-6088","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria","tag-backdoor","tag-cctv","tag-dahua","tag-noticias","tag-p2p","tag-seguridad"],"_links":{"self":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts\/6088","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/comments?post=6088"}],"version-history":[{"count":0,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts\/6088\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/media\/6089"}],"wp:attachment":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/media?parent=6088"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/categories?post=6088"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/tags?post=6088"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}