Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en cámaras IP y grabadores de videos de Dahua Technology Co., Ltd

Múltiples vulnerabilidades en cámaras IP y grabadores de videos de Dahua Technology Co., Ltd

Fecha de publicación: 
05/05/2017
Importancia: 
5 - Crítica
Recursos afectados: 

Cámaras IP:

  • DH-IPC-HDBW23A0RN-ZS
  • DH-IPC-HDBW13A0SN
  • DH-IPC-HDW1XXX
  • DH-IPC-HDW2XXX
  • DH-IPC-HDW4XXX
  • DH-IPC-HFW1XXX
  • DH-IPC-HFW2XXX
  • DH-IPC-HFW4XXX
  • DH-SD6CXX
  • DH-NVR1XXX
  • DH-HCVR4XXX
  • DH-HCVR5XXX

Grabadores de vídeo:

  • DHI-HCVR51A04HE-S3
  • DHI-HCVR51A08HE-S3
  • DHI-HCVR58A32S-S2
Descripción: 

El investigador Bashis ha identificado dos vulnerabilidades que afectan a productos de Dahua Technology Co., Ltd. Un potencial atacante remoto podría aprovechar estas vulnerabilidades para obtener credenciales de usuario, incluidos los hash de las contraseñas, y utilizarlos para evadir la autenticación.

Solución: 

Dahua ha publicado una actualización de firmware que soluciona estas vulnerabilidades, que puede obtenerse del soporte técnico de Dahua o de un distribuidos autorizado.

Detalle: 

Las vulnerabilidades identificadas son:

  • Uso de hash de contraseñas: El uso de hash de contraseñas en lugar de la propia contraseña para la autenticación podría permitir a un potencial atacante realizar una evasión de autenticación sin disponer de la contraseña actual. Se ha reservado el identificador CVE-2017-7927 para esta vulnerabilidad.
  • Contraseña en fichero: El fichero de configuración contiene una contraseña que podría permitir a un potencial atacante remoto asumir la identidad de un usuario privilegiado y conseguir acceso a información sensible. Se ha reservado el identificador CVE-2017-7925 para esta vulnerabilidad.
Etiquetas: