Уязвимость BDU:2022-04764

Дата: 28.07.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04764.

Наименование уязвимости: Уязвимость механизма аутентификации WS-UsernameToken IP-камер Dahua, связанная с возможностью перехвата ONVIF-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к IP-камере.

Описание уязвимости: Уязвимость механизма аутентификации WS-UsernameToken IP-камер Dahua связана с возможностью перехвата ONVIF-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к IP-камере
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2431e-s-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2831e-s-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2230e-s-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2831r-zs-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2831r-zas-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2531r-zs-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2531r-zas-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2531e-s-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2431r-zs-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2431r-zas-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2231f-as-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2231e-s-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2231r-zs-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hdbw2231r-zas-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2231m-as-i2-b-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2231t-as-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2231s-s-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2231t-zs-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2231t-zas-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2230s-s-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2431t-as-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2431t-zs-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2431t-zas-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2431s-s-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2531t-as-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2531t-zs-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2531t-zas-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2531s-s-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2831t-as-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2831t-zs-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2831t-zas-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2831s-s-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2439m-as-led-b-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2239m-as-led-b-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2439s-sa-led-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua ipc-hfw2239s-sa-led-s2 до 2022-04 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua asi7213x-t1 до 2021-09 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua asi7223x-a-t1 до 2021-09 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua asi7223x-a до 2021-09 | Сетевое средство, ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. Dahua asi7213x до 2021-09 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 28.07.2022.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование сторонних средств контроля доступа пользователей (VPN и др.);
— использование технологий белых/черных списков для ограничения доступа недоверенных подключений к устройству.

Использование рекомендаций:
https://www.nozominetworks.com/blog/vulnerability-in-dahua-s-onvif-implementation-threatens-ip-camera-security/
https://www.anti-malware.ru/news/2022-07-29-111332/39229
https://www.dahuasecurity.com/support/cybersecurity/details/1017
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-30563.

Тип ошибки CWE: CWE-294
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.nozominetworks.com/blog/vulnerability-in-dahua-s-onvif-implementation-threatens-ip-camera-security/
https://www.anti-malware.ru/news/2022-07-29-111332/39229
https://www.dahuasecurity.com/support/cybersecurity/details/1017
https://nvd.nist.gov/vuln/detail/CVE-2022-30563

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *