Nimetus: CVE-2021-33044
Turvanõrkuse riskiskoor: 9.8/10 [1]
Nimetus: CVE-2021-33045
Turvanõrkuse riskiskoor: 9.8/10 [2]
Taust
Viimastel aastatel on mitmetes maailma meediaväljannetes kajastatud küberintsidente, mis viidi ellu kasutades kurjategijate kontrolli all olevaid IoT- (Internet of Things) seadmeid, sh videovalvekaameraid[1] [2]. IoT-seadmed on väiksemad internetti ühendatud seadmed nagu näiteks kaamerad, nutilambid, nutitelerid, kõlarid, termostaadid jms [3]. Selliseid nutikaid lahendusi kasutatakse üha rohkem[4]. Sageli on need mitmete turvanõrkuste tõttu ahvatlevaks sihtmärgiks küberründajatele.
2021. aasta sügisel avalikustati Dahua videovalvekaameraid mõjutavad kriitilised turvanõrkused CVE-2021-33044 ja CVE-2021-33045. Need võimaldavad ründajal parooli teadmata haavatavate kaamerate haldusliidesesse lihtsalt ligi pääseda. Nõrkuste ärakasutamiseks on ründajale vaja, et haavatava seadme haldamiseks mõeldud keskkond oleks internetist kättesaadav või et tulemüüri taga oleva seadme haldusliidesele oleks tehtud pordisuunamine. Pahalane saab sellisel juhul haavatava seadme haldusliidese kompromiteerida ja kasutada seda ära vastavalt enda eesmärkidele. Muuhulgas on tal võimalik jälgida kompromiteeritud kaamera videopilti, koguda selle abil tundlikku informatsiooni (paroole, ärisaladusi vms), kasutada kogutud informatsiooni väljapressimiseks või liita kompromiteeritud seade robotvõrgustikuga, mille abil panustab seade omaniku teadmata enda ressurssi teenusetõkestusrünnete sooritamiseks teiste sihtmärkide vastu.
Mõju Eestis
2022. aasta 10. mai seisuga on Riigi Infosüsteemi Ameti analüüsi tulemusel Eesti küberruumis ligi poolteist tuhat Dahua seadet, mis on internetist nähtavad. CERT-EE tuvastas, et ligi 13% seadmetest on endiselt potentsiaalselt vähemalt ühe turvanõrkuse vastu haavatavad. CERT-EE on teavitused võimalike haavatavate seadmete kohta edastanud vastavatele osapooltele, et nõrkused paigataks. Seni ei ole CERT-EEle teada ühtegi kuritarvitamise juhtumit.
Turvanõrkuste abiga on ründajal potentsiaalselt võimalik haavatavad seadmed üle võtta ja kasutada neid ülalnimetatud pahaloomuliste tegevuste sooritamiseks. Arvestades, et avalikult on kättesaadavad erinevad tööriistad nõrkuste ärakasutamiseks ja nende kasutamine on suhteliselt lihtne, kujutavad need haavatavused potentsiaalselt ohtu mõjutatud seadmete omanikele ja ka teistele kasutajatele (kompromiteeritud seadmeid saab kasutada näiteks teenusetõkestusrünnete sooritamiseks). Lisaks sellele võib intsidendi korral tegu olla ka GDPRi nõuete rikkumisega. Tulenevalt menetluse käigust võib rikkumise korral seadme omanikku oodata rahatrahv.
Turvanõrkuste olemus
Mõlema turvanõrkuse puhul on kasutusviis ja saavutatav tulemus sarnane. Turvanõrkuste ärakasutamiseks tuleb ründajal saata haavatava seadme suunas spetsiaalne andmepakett. Piltlikult öeldes saab ründaja kasutada võtit, mis kõik talle nähtavad haavatavad videokaamerate haldusliideste „uksed“ avab.
CVE-2021-33044 turvanõrkuse ärakasutamine on tehtud seejuures väga lihtsaks, kuna selle jaoks on avalikult kättesaadav brasuerilaiendus. Ründajale piisab vaid külastada haavatava Dahua videokaamera haldusliidese sisselogimislehekülge ja klikata brauseris vastava laienduse nupule. Selle tagajärjel on võimalik liidesesse ilma autentimata ligi pääseda. CVE-2021-33045 haavatavuse puhul ei ole sellist laiendust veebilehitsejatele loodud, kuid ründamiseks piisab samuti spetsiifilise andmepaketi saatmisest haavatava seadme suunas.
Millised seadmed on haavatavad?
2021. aasta 15. novembri seisuga on tootja hinnangul vähemalt ühe turvanõrkuse vastu haavatavaid seadmeid ja tarkvaraversioone palju. Tootja on haavatavad seadmed ja nende versioonid koos paikadega välja toonud järgneval veebileheküljel: https://www.dahuasecurity.com/support/cybersecurity/details/957
Vastumeetmed
Haavatavate seadmete haldajatel tuleb lähtuda tootjapoolsest informatsioonist ja uuendada seadmete tarkvara. Tootja juhendi, kuidas Dahua seadme mudelit ja versiooni tuvastada, leiate siit. Samuti tuleks lisaks seadmete uuendamisele piirata haldusliidese kättesaadavust, rakendades IP-põhist piirangut (nt ACL reeglitega) või kasutades VPNi.
RIA nõuanded:
- Veenduda, et haldusliidese kasutajad ei kasutaks nõrku, korduvkasutatavaid või vaikimisi tootja poolt seatud paroole. Kuigi parooli tugevus ei aita siin ohuhinnangus mainitud konkreetsete turvanõrkuste vastu, kompromiteeritakse sageli videovalvekaameraid ja teisi IoT-seadmeid just seetõttu, et haldusliidese kasutajad kasutavad nõrku, korduvkasutatavaid või vaikimisi seatud paroole, mida on ründajal kerge ära arvata.
- Võimalusel luua kaamera haldamiseks unikaalse kasutajanime ja tugeva parooliga uus kasutaja ning deaktiveerida vaikimisi seatud administraatori konto. See vähendab tõenäosust, et jõurünnete jooksul kasutatavad levinud kasutajatunnused (nt. admin/admin, administrator/admin) toimiksid.
- Soovitame kaaluda võrgu segmenteerimist, kui see on võimalik ja seda ei ole juba tehtud. Selle meetme abil vähendatakse riski, et kaamera/kaamerate kompromiteerimise korral oleks ründajal potentsiaalselt võimalik mõjutada ka teisi seadmeid.
- Võimalusel rakendada kaamerale/kaameratele automaatne uuendamine. Kui see ei ole võimalik, siis tuleks luua kindel uuendamisprotseduur (vähemalt kord kuus veenduda, kas tootja on väljastanud uuendusi – kui jah, siis need installeerida).
- Teatud juhtudel võib intsident põhjustada isikuandmetega seotud rikkumise. Sel puhul tuleb sellest teavitada ka Andmekaitse Inspektsiooni (täpsem infomatsioon siit). Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist.
- Intsidendi kahtluse korral soovitame ühendust võtta CERT-EE-ga, kirjutades nende meiliaadressile cert@cert.ee
- Soovitame tutvuda ka Andmekaitse Inspektsiooni teabelehega, mis käsitleb nõudeid videovalve korraldajale.
[1] https://duo.com/decipher/mirai-based-botnet-infects-vulnerable-surveillance-cameras
[2] https://firedome.io/blog/smart-camera-manufacturer-recall-mirai-iot-malware-attack/
[3] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/
[4] https://dataprot.net/statistics/iot-statistics/
[5] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/
[6] https://dataprot.net/statistics/iot-statistics/