Belangrijke veiligheidsupdate voor sommige Hikvision-camera’s
Hikvision komt met bijgewerkte firmware die een door een ethisch hacker ontdekt beveiligingsrisico verhelpt. Het is voor een aantal cameramodellen belangrijk dat deze firmware zo snel mogelijk wordt geïnstalleerd. Deze beschermt de camera’s tegen zogenoemde command injections.
Hikvision werd in juni 2021 benaderd door een ethisch hacker, die onder de naam Watchful IP actief is. Deze waarschuwde de fabrikant dat hij een belangrijke kwetsbaarheid had ontdekt in de software van een aantal camera’s. Volgens het standaard ‘Coordinated Disclosure Process’ ging Hikvision samen met de onderzoeker aan de slag om de kwetsbaarheid te verhelpen. Vervolgens werd uitvoerig gecontroleerd of command injections niet langer mogelijk waren.
Vergaande mogelijkheden
Het ging om een zogenoemde zero-click-kwetsbaarheid. In een IP-bewakingscamera kan een niet-geverifieerde aanvaller hiermee volledige toegang krijgen tot het apparaat en mogelijk interne netwerken. De onderzoeker gaf details vrij over de niet-geverifieerde remote code-uitvoering (RCE)-bug in bepaalde producten van Hikvision. Het beveiligingslek, getraceerd als CVE-2021-36260, werd bekroond met 9,8 op de CVSS-schaal van ernst. Dat betekent dat een hacker zelfs meer kan dan de eigenaar van het apparaat. Op gevoelige locaties zou zelfs de vitale infrastructuur gevaar lopen. Het lek zou al sinds 2016 bestaan, maar het is niet bekend of er misbruik van is gemaakt.
White hat-hackers
Hikvision is een CVE Numbering Authority (CNA) en werkt samen met white hat-hackers en externe beveiligingsonderzoekers om kwetsbaarheden in de beveiliging van producten te ontdekken en te verhelpen. Dit gebeurt in overeenstemming met de vulnerability management teams van de CVE CNA-partnerbedrijven. De fabrikant voldoet ook strikt aan de toepasselijke wet- en regelgeving in alle landen en regio’s waar hij actief is en doet al het mogelijke om de veiligheid van de producten te garanderen.