Dahua 監視カメラにリモート認証バイパスの脆弱性

Unpatched Dahua cams vulnerable to unauthenticated remote access

2021/10/07 BleepingComputer — パッチが適用されていない Dahua カメラには、2つの認証バイパスの脆弱性が存在するが、本日に公開された PoC エクスプロイトにより、アップグレードが急務となっている。この認証バイパスの脆弱性は、CVE-2021-33044 CVE-2021-33045 として追跡されており、いずれもログイン・プロセス中に、特別に細工されたデータ・パケットをターゲット・デバイスに送信することで、リモートからの悪用が生じる可能性がある。詳細については、GitHub で公開されている PoC (Proof of Concept) を参照してほしい。

Dahua が脆弱性のあるモデルの所有者に対して、ファームウェアのアップグレードを促すセキュリティ勧告を出してから、すでに1ヶ月が経過している。初期のインストールやセットアップの後に、相当数のデバイスが放置されていと考えられるため、大量の脆弱なバージョンが、そのまま運用されている可能性が高いと思われる。

影響を受けるモデル・リストは Dahuaカメラの多くをカバーしまた、広範囲におよび、その一部にはサーマル・カメラも含まれている。Shodan で検索したところ、世界中で 120万台以上の Dahua システムが見つかっている。ここで重要なことは、これらの全てのデバイスが、悪用される可能性があるわけでは無い点だ。その一方で、影響を受けるモデルのリストには、広く普及しているものが含まれていることになる。

セキュリティの頭痛のタネは販売が禁止されているが

中国の監視カメラ・ベンダーである Dahua Technology は、2019年10月に米国商務省の Entity List に追加され、米国でのビジネスや製品販売が禁止されている。

しかし、米国内では依然として何万台もの Dahua カメラが活用されており、その中には目立たないものが存在するかもしれない。最近の The Intercept 報告書が詳細に述べているように、アメリカやカナダのブランド (Honeywell など) により、米国内で販売されているカメラの多くにおいて、Dahuaの ハードウェア/ソフトウェアが使用されている。

デバイスを保護する方法

Dahua カメラのファームウェアを最新版にアップグレードする以外にも、購入時に設定されていたパスワードを、ユニークかつ強力なものに変更する必要がある。ルートアクセスの認証で admin のままにしておくと、いずれビデオ・フィードが公開されることになる。さらに、カメラがワイヤレスの場合には WPA2 暗号化を有効にし、可能であれば IoT 用に別の分離されたネットワークを設定してほしい。

なお、使用中のモデルがクラウドに対応している場合は、Dahua Download Center に行かなくても、コントロール・インターフェースから自動的に修正版のアップグレードを取得できる。

この2つの欠陥が発見されたのは、2021年6月13日である。したがって、直ちにファームウェア・アップデートを適用するケースであっても、少なくとも 2.5ヶ月間は認証されないアクセスに対して、脆弱な状態にある Dahua カメラを使用していたことになる。

Dahua の Web カメラですが、手元のデータベースを調べてみたら、脆弱性が 2017年〜2021年で拾われていました。ただ、文中にあるように、たとえば Honeywell ブランドで販売されているような OEM 製品があったとしても、もう追いかけることは不可能だと思えてきます。これからの IoT の時代のことを考えると、なんらかの追跡のための仕組みが必要になりますね。

%d bloggers like this: