تایید وجود راه نفوذ امنیتی (Backdoor) در محصولات هایک ویژن

دپارتمان امنیت ملی ICS-CERT آمریکا با تایید نتایج تحقیق Montecrypto، محققی که مشکلات امنیتی هایک ویژن را پیشتر منتشر کرده بود نکات بیشتری در این باره عنوان کرده است.

افشای وجود حفره امنیتی درب پشتی (Backdoor) محصولات هایک ویژن

دو ماه قبل پژوهشگری با نام Motecrypto بیان کرد :

مایلم تایید کنم که یک حفره امنیتی backdoor در محصولات مشهور هایک ویژن وجود دارد که امکان دسترسی کامل در سطح admin به دستگاههای نظارت تصویری هایک ویژن را میسر می کند.

هفته بعد از آن عنوان کرد:

مهاجم احتمالی می تواند از راه دور بصورت ریموت با افزایش سطح دسترسی خود از یک مرورگر وب به کاربر ادمین دست یابد.

توصیه و مشاوره DHS آمریکا به هایک ویژن

دپارتمان امنیت داخلی آمریکا با ارزیابی بالاترین رتبه خطر آسیب (10 از 10) برای دوربین های مداربسته هایک ویژن (Hikvision) تایید کرد که “نفوذ بصورت ریموت/نیاز به تخصص بسیار کم برای نفوذ” از طریق “تعیین هویت ناقص” این محصولات را تهدید می کند. بعلاوه DHS (سازمان امنیت ملی) افزو که “فایل تنظیمات رمز عبور” بکار رفته در محصولات در معرض خطر هایک ویژن با وضعیت بحرانی (8.8 از 10) ارزیابی می شوند.

واکنش هایک ویژن

چند روز بعد هایک ویژن با انتشار بیانیه ای در مورد “نفوذپذیری سریع با مجوز دسترسی کاربر” و مشکل فرم ورهای برورسانی بیش از 200 دوربین مداربسته تحت شبکه هایک ویژن نشان داد که این موضوع را پذیرفته است. بنظر می آید میلیونها دوربین مداربسته که هایک ویژن بر اساس برنامه فروش در بازار سیستم نظارت تصویری جهان بفروش رسانده است با مشکل نفوذپذیری غیرمجاز شدیدی روبرو هستند .

فرم ورهای جدید هایک ویژن
فرم ورهای جدید هایک ویژن
در انتهای مقاله می توانید لینک فرم ور های جدید دوربین های مداربسته هایک ویژن را ببینید.

در هفته گذشته پس از تقریبا 1 ماه هایک ویژن با انتشار بیانیه ای بروزشده زیر در این بار اعلام کرد :

هایک ویژن از همکاری با دپارتمان امنیت سایبری ملی آمریکا و مرکز مشارکتهای ارتباطی آمریکا مفتخر است تا بهترین نتایج را در امنیت سایبری بدست آورد.

محصولات خطرناک بدون راهکاری برای ایمنی

درحال حاضر هنوز هایک ویژن راهکاری برای ارائه به کسانی که دوربین های مداربسته این برند را خریداری کرده اند ارائه نکرده است و براساس تنوع آنها تنها بروزرسانی فرم ور را راه برگشت دستگاهها به حالت عادی می داند و یا با قطع ارتباط محصولات با اینترنت شاید بتوان به کار با آنها پرداخت. البته گزینه بدتری هم هست که ممکن است بروزرسانیها باعث ازکار افتادن کامل دوربین مداربسته هایک ویژن شوند!”

کاری برای بهبود وضع فایل تنظیمات و رمز عبورها انجام نشده است!

DHS همچنین افزوده است که :

هایک ویژن آسیب پذیری نفوذ به فایلهای تنظیمات رمز عبور را هنوز کاهش نداده است.

بنابراین واضح است که هایک ویژن هنوز هیچ اقدامی برای برطرف کردن این مشکلات انجام نداده است و عملا کاربران مجبورند با افزایش تمهیدات امنیتی جانبی سعی کنند آسیبهای تهاجم امنیتی محتمل را کاهش دهند.

تایید مشکل بدون وجود مدرک

درحالی سازمان DHS آمریکا آسیبهای امنیتی اخیر را تایید می کند که هنوز هیچ نمونه ای از شواهد منتشر نشده است. شاید این فقدان مدرکی دال بر نفوذ، می تواند کمی موضوع را از وضعیت حاد خارج نمایدو کاربران هایک ویژن باید این شرایط را جدی بگیرند و همه دستگاههای نظارت تصویری مورد استفاده را بروز رسانی نمایند. همانطور که پیشتر در سی سی تی وی آنلاین گفتیم، Montecrypto هشدار داده بود که :

اگر دسترسی به صفحه Login دوربین مداربسته یا رکوردر و VMS داشته باشید می توانید بصورت کاربر ادمین وارد شوید یا بدون دانستن رمز عبور ادمین براحتی با ریکاوری می توانید وارد شوید!

ادعای هایک ویژن : هیچ راه نفوذی (Backdoor) در کار نیست!

هایک ویژن در ابتدای سال 2017 بیان کرده بود که :

هایک ویژن هرگز یا تحت هیچ شرایطی عمدا در محصولاتش حفره امنیتی “Backdoor” تعبیه نکرده است.

بنابراین احتمالا Hikvision می خواهد استدلال کند که وجود این حفره های امنیتی Backdoor عمدی نبوده است و در صورتی که شما به هایک ویژن اعتماد هم داشته باشید نیت خوانی این موضوع سخت است!

لینک دانلود فرم ورهای جدید دوربین های مداربسته هایک ویژن:

 
مدل ورژنهای قبلی قابل بروزرسانی ورژن فرم ور جدید لینک دانلود فرم ور
سری DS-2CD2xx2F-I V5.2.0 build 140721 تا ورژن V5.4.0 Build 160530 v5.4.5 Build 170123 لینک دانلود
سری DS-2CD2xx0F-I V5.2.0 build 140721 تا ورژن V5.4.0 Build 160401 v5.4.5 Build 170123 لینک دانلود
سری DS-2CD2xx2FWD V5.3.1 build 150410 تا ورژن V5.4.4 Build 161125 v5.4.5 Build 170124 لینک دانلود
سری DS-2CD4x2xFWD V5.2.0 build 140721 تا ورژن V5.4.0 Build 160414 v5.4.5 Build 170228 لینک دانلود
سری DS-2CD4xx5 V5.2.0 build 140721 تا ورژن V5.4.0 Build 160421 v5.4.5 Build 170302 لینک دانلود
سری DS-2DFx V5.2.0 build 140805 تا ورژن V5.4.5 Build 160928 v5.4.9 Build 170123 لینک دانلود
سری DS-2CD63xx V5.0.9 build 140305 تا ورژن V5.3.5 Build 160106 v 5.4.5 Build 170206 لینک دانلود

 

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد.