Több sérülékenység is javításra került az ipari környzetekben is használt, hazai kereskedelmi forgalomban is kapható Dahua IP kamerákban, ezek között egy olyan is található, amivel egy támadó teljes hozzáférést szerezhet a sérülékeny eszközhöz, még a kamera élő videóstreamjéhez is.
A CVE-2022-30563 számon jegyzett, magas kockázati besorolású biztonsági hiba távoli kihasználást tehet lehetővé, és az eszköz teljes kompromittálásához vezethet. A sebezhetőség az Open Network Video Interface Forum (ONVIF) nem megfelelő implementálásából ered.
(Az ONVIF egy egységes kezelési felületre vonatkozó nyílt szabvány, amely a biztonsági célú IP termékek közötti interopabilitás elősegítésére jött létre 2008-ban az Axis Communications, a Bosch Security Systems és a Sony által. 2021-ben már 20 nagynevű gyártó is a tagja, olyanok is, mint a Honeywell, a Canon, a Panasonic.)
A sérülékenységben az alábbi firmware verziók érintettek:
- Dahua ASI7XXX: 2021. szeptember előtt készült firmware verziók
- Dahua IPC-HDBW2XXX: 2022. április előtt készült firmware verziók
Javított verzió: DH_IPC-HX2XXX-Molec_MultiLang_PN_V2.820.0000000.48.R.220614.zip DH_IPC-HX2XXX-Molec_MultiLang_NP_V2.820.0000000.48.R.220614.zip
- Dahua IPC-HX2XXX: 2022. április előtt készült firmware verziók
Javított verzió: DH_ASI72XXX_Eng_NP_V1.000.0000009.0.R.220620.zip
Az NBSZ NKI javasolja a firmware verzió ellenőrzését és a frissítések mielőbbi telepítését!
