[English]Im Webserver einiger Hikvision-Produkte gibt es auf Grund einer unzureichenden Eingabevalidierung eine Command-Injection-Schwachstelle. Unbefugte könnten über diese Schwachstelle Nachrichten mit schädlichen Befehlen an den Webserver senden. Der Hersteller hat ein Firmware-Update zum Schließen dieser Schwachstelle bereitgestellt. Betroffen sind auch OEMs wie ABUS oder TRENDnet.
Anzeige
Hikvision ist ein 2001 gegründeter chinesischer Anbieter von Videoüberwachungsprodukten und -lösungen, der 2021 über 42.685 Mitarbeiter verfügte. Der Umsatz beträgt inzwischen mehrere Milliarden Euro und die Sicherheitskameras werden auch in Deutschland häufig eingesetzt. Zudem werden Hikvsion-Kameras von vielen OEMs vertrieben.
2019 wurde bekannt, dass das Unternehmen eine Überwachungskamera damit beworben hat, dass diese auch ethnische Minderheiten, wie z. B. Uiguren, erkennen könne. Nach kritischen Nachfragen im Hinblick auf chinesische Menschenrechtsverletzungen gegenüber Uiguren löschte das Unternehmen die Produktseite
Auf Twitter hat mich DG3FBL über obigen Tweet auf die aktuelle Schwachstelle CVE-2021-36260 in der Hikvision-Firmware hingewiesen. Das Ganze dürfte 100 Millionen Kameras von Hikvision und ca. 90 OEMs betreffen. Die Schwachstelle wird mit dem CVSS-Wert 9.8 eingestuft, ist also kritisch und Leute, die die Produkte zur Überwachung von Objekten einsetzen, sollten zeitnah handeln.
Anzeige
In seiner Sicherheitsmeldung HSRC-202109-01 vom 19. September 2021 gibt Hikvision nur an, dass eine Command-Injection-Schwachstelle im Webserver einiger Hikvision-Produkte bestehe. Aufgrund der unzureichenden Eingabevalidierung können Angreifer die Schwachstelle ausnutzen, um einen Command Injection Angriff zu starten, indem sie einige Nachrichten mit schädlichen Befehlen senden.
Der Hinweis auf die Schwachstelle kam im Juni 2021 durch Sicherheitsspezialisten von Watchful IP. Alle Kameramodelle, die in der Sicherheitsmeldung HSRC-202109-01 vom 19. September 2021 aufgeführt werden und per Port-Forwarding aus dem Internet erreichbar sind, weisen in den älteren Firmware-Versionen diese Schwachstelle auf. Angreifer könnten dann die volle Kontrolle über diese Kameras erlangen.
Watchful IP gibt an, dass selbst Firmware aus dem Jahr 2016 getestet und für anfällig befunden wurde. Es ist nur der Zugriff auf den http(s)-Server-Port (normalerweise 80/443) erforderlich. Es sind weder ein Benutzername oder ein Kennwort erforderlich, noch muss der Kamerabesitzer irgendwelche Aktionen durchführen. Der Angriff kann nicht durch eine Protokollierung auf der Kamera selbst erkannt werden. Eine Liste der betroffenen Kameramodelle und Firmware-Versionen finden sich auf Watchful IP, die gepatchten Versionen der Firmware sind in der Sicherheitsmeldung HSRC-202109-01 aufgeführt. Ein weiterer Bericht zum Thema ist hier abrufbar.
Anzeige
