Des détails ont été partagés sur une vulnérabilité de sécurité dans l’implémentation de la norme ONVIF (Open Network Video Interface Forum) de Dahua, qui, lorsqu’elle est exploitée, peut conduire à la prise de contrôle des caméras IP. Suivie comme CVE-2022-30563 (score CVSS : 7,4), la « vulnérabilité pourrait être exploitée par des attaquants pour compromettre les caméras réseau en reniflant une précédente interaction ONVIF non cryptée et en rejouant les informations d’identification dans une nouvelle demande vers la caméra », a déclaré Nozomi Networks dans un rapport jeudi.

Le problème, qui a été résolu dans un correctif publié le 28 juin 2022, affecte les produits suivants :

  • Dahua ASI7XXX: Versions prior to v1.000.0000009.0.R.220620
  • Dahua IPC-HDBW2XXX: Versions prior to v2.820.0000000.48.R.220614
  • Dahua IPC-HX2XXX: Versions prior to v2.820.0000000.48.R.220614

ONVIF régit le développement et l’utilisation d’une norme ouverte sur la manière dont les produits de sécurité physique basés sur IP, tels que les caméras de vidéosurveillance et les systèmes de contrôle d’accès, peuvent communiquer entre eux de manière indépendante du fournisseur. Le bogue identifié par Nozomi Networks réside dans ce qu’on appelle le mécanisme d’authentification « WS-UsernameToken » mis en œuvre dans certaines caméras IP développées par la firme chinoise Dahua, permettant aux attaquants de compromettre les caméras en rejouant les informations d’identification. En d’autres termes, l’exploitation réussie de la faille pourrait permettre à un adversaire d’ajouter secrètement un compte d’administrateur malveillant et de l’exploiter pour obtenir un accès illimité à un appareil affecté avec les privilèges les plus élevés, notamment en regardant les flux de caméras en direct. Tout ce dont un acteur malveillant a besoin pour monter cette attaque est de pouvoir capturer une requête ONVIF non chiffrée authentifiée avec le schéma WS-UsernameToken, qui est ensuite utilisée pour envoyer une requête falsifiée avec les mêmes données d’authentification pour inciter l’appareil à créer le compte administrateur.

Cette divulgation fait suite à la découverte de failles similaires dans les appareils Reolink, ThroughTek, Annke et Axis, soulignant les risques potentiels posés par les systèmes de caméras de sécurité IoT compte tenu de leur déploiement dans des infrastructures critiques. « Les acteurs de la menace, en particulier les groupes de menace des États-nations, pourraient être intéressés par le piratage des caméras IP pour aider à recueillir des informations sur l’équipement ou les processus de production de l’entreprise cible », ont déclaré les chercheurs. « Ces informations pourraient faciliter la reconnaissance effectuée avant le lancement d’une cyberattaque. Avec une meilleure connaissance de l’environnement cible, les acteurs de la menace pourraient concevoir des attaques personnalisées susceptibles de perturber physiquement les processus de production dans les infrastructures critiques. » Dans un développement connexe, les chercheurs du groupe NCC ont documenté 11 vulnérabilités affectant les produits de verrouillage intelligent Nuki qui pourraient être militarisées pour obtenir l’exécution de code arbitraire et ouvrir des portes ou provoquer une condition de déni de service (DoS). Il convient également de noter un avis sur le système de contrôle industriel (ICS) publié par la U.S. Cybersecurity and Infrastructure Security Agency cette semaine, mettant en garde contre deux graves failles de sécurité dans les serveurs MOXA NPort 5110 exécutant la version 2.10 du micrologiciel. « L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de modifier les valeurs de la mémoire et/ou de rendre l’appareil insensible », a déclaré l’agence.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *