• Grabadores Dahua hackeadas a nivel mundial


     

    Las grabadoras de Dahua están siendo hackeadas y vandalizadas en todo el mundo, según lo confirma las docenas de informes al IPVM desde hace 5 días atras, cuando iniciaron los ataques.

    Procedimiento de seguridad:

    Si usted tiene grabadores Dahua y su puerto lo envió (como desafortunadamente recomiendan ), revise sus grabadoras inmediatamente.

    - Deshabilite el reenvío de puertos inmediatamente y bloquee el acceso público a estas grabadoras.

    - Trate de actualizar el firmware, si es posible para sus unidades, aunque Dahua regularmente tuvo problemas para distribuir firmware para varios modelos y socios.

    - Si tiene uno de los muchos registradores Dahua OEM (por ejemplo, ADT que hemos confirmado varios informes), deshabilite el reenvío de puertos y póngase en contacto con su fabricante.

    - Dahua todavía no ha hecho ninguna declaración pública, manteniendo su mala comunicación con sus clientes.


    A continuación le daremos detalles de los informes, elementos técnico y su vulnerabilidad

    Descripción de Hacked

    Basados en capturas de pantalla y archivos de registro enviados a IPVM y publicados en foros públicos, los sistemas hackeados mostrarán imágenes negras de la cámara y mostrarán "HACKED 1, HACKED 2, etc." en cada alimentación de cámara:

     

     

    El video será negro, ya que el hacker cambia la exposición para ocultar y/o bloquear los canales de vídeo de forma eficaz, como se muestra nuevamente a continuación:

     

     

     

     

     

     

     

     

     

     

     

    Algunos de los cambios realizados al archivo de registro de CCTV Forum:

     

     

     

    Las víctimas buscan ayuda

    Dahua no ha emitido ninguna declaración sobre estos hacks, su más reciente actualización de seguridad cibernética de EE.UU. fue en julio de 2017. El tráfico de búsqueda a IPVM para los términos relacionados con 'Dahua hack' muestran un aumento del 500% por encima del promedio de la semana pasada:

     

     

     

     

     

     

     

     

     

     

     

    Dahua USA ha indicado que se está estableciendo una línea especial de seguridad cibernética para las llamadas de campo relacionadas con este hack. Una vez que recibamos más información, lo compartiremos.

     

    Ejemplos de informes

    IPVM ha recibido numerosos informes y catalogado otros informes a través de Internet, incluyendo:

    Tengo más de 60 DVR que son viejos y nuevos con menos de 6 meses de edad, tanto de marca como sin marca y ambos han sido severamente hackeado. El teléfono ha estado sonando. Dahua sigue enviándome un firmware con fecha del año pasado.

    Los hackers apagaron la alimentación de la cámara a los cuatro canales y bloquearon el acceso para volverlos a encender. Hubo cambios en la configuración del color, en la red general y en el nombre del canal.

    Un cliente se presentó a las 9:00am para decirme que dos de los cuatro sitios DVR estaban asentadas con 4 pantallas negras y donde va la información de las cámaras, decía "hackeado". Hacia las 21:00 hora, los otros dos sitios presentaron el mismo problema.

    Esta noche un miembro de la familia me llamó y me dijo que su Dahua DVR estaba mostrando "hackeado" como todos los títulos de la cámara. Me acerqué a su casa y la miré, y de hecho la habían cortado. Aproximadamente una hora más tarde consigo un texto de un viejo compañero de trabajo ... su DVR también mostraba hackeado, también un Dahua. La unidad fue revisada, y les cambiados algunos datos que hicieron que la pantalla fuera negra, y los nombres de la cámara cambiados a Hacked 1, Hacked 2, Hacked 3 y Hacked 4. Mi cuenta principal del admin tenía la contraseña cambiada, no hay seguridad sobre el secundario.

    Mis cámaras dicen que son "Hacked". Llamé a Dahua en California y se negaron a ofrecer cualquier explicación o asistencia, solo me mostraron Boletines en PDF de Cyber Seguridad en línea, que no fueron de ayuda para mi situación. Simplemente se negaron a hablar conmigo y me decian que leyera los boletines y eso que eso es todo lo que iban a hacer.

    Un distribuidor italiano publicó sobre el problema masivo de los hacks a Dahua:

    En los últimos días, la noticia de un enorme ataque de hackers en la red italiana ha bloqueado casi 6.000 aplicaciones de grabadoras de Dahua, sólo de nuestro canal, más de 800 llamadas entre el 19 y el 21 de septiembre, fueron realizadas sobre los grabadores Dahua Hackeados.

    Y un socio griego de Dahua publicó un artículo de LinkedIn:

     

     

     

     

     

     

     










    Posteriormente eliminó el post

    Y este artículo de Facebook citó varias cadenas nacionales impactadas con Dahua respondiendo que la persona estaba mintiendo:

     

     

     

     

     

     

     

     

     

     

     

     

    Una pista clave para los hacks vino de una persona que envió por correo electrónico de IPVM:

    Me detuve por uno de nuestros antiguos clientes, para ver su DVR, y parece que la única cuenta local 888888 se accede a través de Internet.

     

    La cuenta 888888

    La data de Las Grabadoras Dahua se envían con una cuenta especial '888888' que sólo se supone que funciona localmente. Sin embargo, según el investigador de seguridad bashis, la validación para determinar si el cliente es local para la grabadora es realizada por el cliente y no por el registrador. Esto significa que un cliente malicioso podría formarse para usar la cuenta 888888, y decirle a la grabadora que es local, incluso si se está ingresando desde una red remota.

    Creemos que esta hazaña '888888' ha sido arreglada en los firmwares más recientes de Dahua, pero Dahua se niega a comunicar los cambios, cuando se cambió y para qué modelos ha sido cambiado.

    Es probable que estos ataques en el bashis hayan sido descubiertos en marzo de 2017:

     

     

     







    Análisis técnico

    La presencia de la cuenta especial '888888' de Dahua y el acceso a Internet al puerto 37777 son los dos factores que los de sistemas reportaron a IPVM. Los usuarios con contraseñas de administrador no predeterminadas, han informado hacks a sus sistemas. En un número de casos, los usuarios estaban ejecutando el último firmware disponible, particularmente en el caso de modelos OEM.

    Basado en el número y la diversidad geográfica de los sistemas reportados como atacados, esto parece ser un ataque automatizado, tomando en cuenta que las víctimas fueron escogidas al azar por Shodan o con escaneos similares. El ataque ajusta la configuración de las cámaras conectadas para que la imagen quede en negro, pero no toque el video grabado ni bloquee al usuario del sistema. Esto hace que los ataques similares a Brickerbot por lo general tratan de llamar la atención a los diferentes dispositivos de seguridad, no hacelos inoperable o registrarlos en una red de bots.

     

    Dahua, Muchas Vulnerabilidades

    Dahua ha tenido una serie de vulnerabilidades reportadas en los productos. Las cámaras y grabadoras Dahua alimentaron la botnet de Mirai en 2016, el mayor ataque DDoS de la historia (Dahua también se declaró víctima de Mirai).

    Esto también impactó a socios clave, como FLIR, forzándolos a lidiar con la mala implementación de seguridad de Dahua. Una vulnerabilidad en los búfer de Dahua fue descubierta en julio de 2017, aunque no se ha visto ninguna hazaña conocida de esto (todavía). Múltiples vulnerabilidades también se han encontrado en la grabadora DHI-HCVR7216A-S3 de Dahua, incluyendo contraseñas de texto claro, la conexión auto-admin permite el rastreo de datos, el bypass de la contraseña del administrador, las comunicaciones no cifradas permiten el ataque de cualquier persona.

    26/09/2017 18:09:07