Windows Lite
windowslite.net

Lỗ hổng camera Dahua cho phép hacker chiếm toàn quyền kiểm soát thiết bị

Lỗ hổng camera Dahua cho phép hacker chiếm toàn quyền kiểm soát thiết bị

Thông tin chi tiết đã được chia sẻ về một lỗ hổng bảo mật ở phần Open Network Video Interface Forum (ONVIF) của Dahua, khi bị khai thác, có thể dẫn đến việc chiếm quyền kiểm soát các camera IP.

Có mã bảo mật là CVE-2022-30563 (điểm CVSS: 7.4), “lỗ hổng có thể bị hacker lợi dụng để xâm phạm camera mạng bằng cách lấy dữ liệu tương tác ONVIF không được mã hóa trước đó và phát lại thông tin đăng nhập trong một yêu cầu mới đối với camera”, Nozomi Networks cho biết trong một báo cáo thứ Năm.

Vấn đề, đã được giải quyết trong một bản vá được phát hành vào ngày 28 tháng 6 năm 2022, ảnh hưởng đến các sản phẩm sau:

  • Dahua ASI7XXX: Các phiên bản trước v1.000.0000009.0.R.220620
  • Dahua IPC-HDBW2XXX: Các phiên bản trước v2.820.0000000.48.R.220614
  • Dahua IPC-HX2XXX: Các phiên bản trước v2.820.0000000.48.R.220614

Lỗi được Nozomi Networks xác định nằm trong cơ chế xác thực ” WS-UsernameToken ” được triển khai trong một số camera IP do công ty Dahua của Trung Quốc phát triển, cho phép hacker xâm phạm camera bằng cách sử dụng thông tin đăng nhập lấy được.

Nói cách khác, việc khai thác thành công lỗ hổng này có thể cho phép hacker thêm tài khoản quản trị viên và khai thác nó để có được quyền truy cập không hạn chế vào thiết bị bị ảnh hưởng với các đặc quyền cao nhất, bao gồm cả việc xem camera trực tiếp.

Tiết lộ này được tung ra sau khi phát hiện ra các lỗ hổng tương tự trong các thiết bị Reolink, ThroughTek, Annke và Axis, nhấn mạnh những rủi ro tiềm ẩn do hệ thống camera an ninh IoT gây ra khi chúng được triển khai trong các cơ sở hạ tầng quan trọng.

Trong một diễn biến liên quan, các nhà nghiên cứu từ NCC Group đã ghi nhận 11 lỗ hổng ảnh hưởng đến các sản phẩm khóa thông minh Nuki có thể được vũ khí hóa để thực thi mã tùy ý và mở cửa hoặc gây ra tình trạng từ chối dịch vụ (DoS).

Theo TheHackerNews

LƯU Ý

Tất cả các file download nếu có mật khẩu giải nén sẽ là baominh.tech hoặc sbz hoặc 123

"Các phần mềm tải về chỉ để dùng thử / giáo dục và phi thương mại." 
"Nếu bạn thích phần mềm này, vui lòng mua Giấy phép Chính hãng từ Trang web Chính thức."

Vui lòng tắt các công cụ chặn quảng cáo để có thể download được file từ trang download.

Rất mong bạn thông cảm, quảng cáo là nguồn thu duy nhất của website để hoạt động, vì thế mong bạn thông cảm khi sử dụng website có quảng cáo.

Trả lời

Email của bạn sẽ không được hiển thị công khai.