• شماره تماس :031-377-348-49
  • |
  • ایمیل:info[at]imenandishan.com
ایمن اندیشان زنده رود

تایید راه نفوذ میلیونها محصول هایک ویژن!

تایید وجود راه نفوذ امنیتی (Backdoor) در محصولات هایک ویژن

دپارتمان امنیت ملی ICS-CERT آمریکا با تایید نتایج تحقیق Montecrypto، محققی که مشکلات امنیتی هایک ویژن را پیشتر منتشر کرده بود نکات بیشتری در این باره عنوان کرده است. در این مقاله دوربین مداربسته سی سی تی وی آنلاین می توانید مشروح این مطلب را مطالعه نمایید.

افشای وجود حفره امنیتی درب پشتی (Backdoor) محصولات هایک ویژن

دو ماه قبل پژوهشگری با نام Motecrypto بیان کرد :

مایلم تایید کنم که یک حفره امنیتی backdoor در محصولات مشهور هایک ویژن وجود دارد که امکان دسترسی کامل در سطح admin به دستگاههای نظارت تصویری هایک ویژن را میسر می کند.

هفته بعد از آن عنوان کرد:

مهاجم احتمالی می تواند از راه دور بصورت ریموت با افزایش سطح دسترسی خود از یک مرورگر وب به کاربر ادمین دست یابد.

توصیه و مشاوره DHS آمریکا به هایک ویژن

دپارتمان امنیت داخلی آمریکا با ارزیابی بالاترین رتبه خطر آسیب (10 از 10) برای دوربین های مداربسته هایک ویژن (Hikvision) تایید کرد که "نفوذ بصورت ریموت/نیاز به تخصص بسیار کم برای نفوذ" از طریق "تعیین هویت ناقص" این محصولات را تهدید می کند. بعلاوه DHS (سازمان امنیت ملی) افزو که "فایل تنظیمات رمز عبور" بکار رفته در محصولات در معرض خطر هایک ویژن با وضعیت بحرانی (8.8 از 100) ارزیابی می شوند.

واکنش هایک ویژن

چند روز بعد هایک ویژن با انتشار بیانیه ای در مورد "نفوذپذیری سریع با مجوز دسترسی کاربر" و مشکل فرم ورهای برورسانی بیش از 200 دوربین مداربسته تحت شبکه هایک ویژن نشان داد که این موضوع را پذیرفته است. بنظر می آید میلیونها دوربین مداربسته که هایک ویژن بر اساس برنامه فروش در بازار سیستم نظارت تصویری جهان بفروش رسانده است با مشکل نفوذپذیری غیرمجاز شدیدی روبرو هستند .

 

فرم ورهای جدید هایک ویژن

فرم ورهای جدید هایک ویژن

در هفته گذشته پس از تقریبا 1 ماه هایک ویژن با انتشار بیانیه ای بروزشده زیر در این بار اعلام کرد :

هایک ویژن از همکاری با دپارتمان امنیت سایبری ملی آمریکا و مرکز مشارکتهای ارتباطی آمریکا مفتخر است تا بهترین نتایج را در امنیت سایبری بدست آورد.

محصولات خطرناک بدون راهکاری برای ایمنی

درحال حاضر هنوز هایک ویژن راهکاری برای ارائه به کسانی که دوربین های مداربسته این برند را خریداری کرده اند ارائه نکرده است و براساس تنوع آنها تنها بروزرسانی فرم ور را راه برگشت دستگاهها به حالت عادی می داند و یا با قطع ارتباط محصولات با اینترنت شاید بتوان به کار با آنها پرداخت. البته گزینه بدتری هم هست که ممکن است بروزرسانیها باعث ازکار افتادن کامل دوربین مداربسته هایک ویژن شوند!"

کاری برای بهبود وضع فایل تنظیمات و رمز عبورها انجام نشده است!

DHS همچنین افزوده است که :

هایک ویژن آسیب پذیری نفوذ به فایلهای تنظیمات رمز عبور را هنوز کاهش نداده است.

بنابراین واضح است که هایک ویژن هنوز هیچ اقدامی برای برطرف کردن این مشکلات انجام نداده است و عملا کاربران مجبورند با افزایش تمهیدات امنیتی جانبی سعی کنند آسیبهای تهاجم امنیتی محتمل را کاهش دهند.

تایید مشکل بدون وجود مدرک

درحالی سازمان DHS آمریکا آسیبهای امنیتی اخیر را تایید می کند که هنوز هیچ نمونه ای از شواهد منتشر نشده است.  شاید این فقدان مدرکی دال بر نفوذ، می تواند کمی موضوع را از وضعیت حاد خارج نمایدو کاربران هایک ویژن باید این شرایط را جدی بگیرند و همه دستگاههای نظارت تصویری مورد استفاده را بروز رسانی نمایند. همانطور که پیشتر در سی سی تی وی آنلاین گفتیم، Montecrypto هشدار داده بود که :

اگر دسترسی به صفحه Login دوربین مداربسته یا رکوردر و VMS داشته باشید می توانید بصورت کاربر ادمین  وارد شوید یا بدون دانستن رمز عبور ادمین براحتی با ریکاوری می توانید وارد شوید!

ادعای هایک ویژن : هیچ راه نفوذی (Backdoor) در کار نیست!

هایک ویژن در ابتدای سال 2017 بیان کرده بود که :

هایک ویژن هرگز یا تحت هیچ شرایطی عمدا در محصولاتش حفره امنیتی "Backdoor" تعبیه نکرده است.

بنابراین احتمالا Hikvision می خواهد استدلال کند که وجود این حفره های امنیتی Backdoor عمدی نبوده است و در  صورتی که شما به هایک ویژن اعتماد هم داشته باشید نیت خوانی این موضوع سخت است!

تلاشهای پیشین هایک ویژن

هایک ویژن سال 2015 با بیانیه های مختلفی درباره تعهد امنیتی خود در فضای سایبری در جواب اتهامات قبلی بخصوص در بخش امنیتی سایتش سعی کرد نمایش مناسبی داشته باشد و با تاسیس مرکز تحقیقات امنیت اطلاعات و شبکه و همکاری Rapid7 سعی بیشتری در حل مشکل انجام داد. با وجود این اقدامات برای بهبود امنیت سایبری، راه های نفوذ اخیر در سال 2017 و گزارش پژوهشگر مستقل، Montecrypto وضع را بدتر کرد. بیانیه قبلی هایک ویژن را  در تصویر زیر مشاهده می کنید:

بیانیه هایک ویژن


زمان انتشار: 2017-08-08 13:50:37