Hikvision: Noch immer viele verwundbare Kameras erreichbar
von caschy | 2 Kommentare
Bereits im letzten Jahr berichteten wir über schwere Sicherheitslücken, die in zahlreichen Kamera-Modellen von Hikvision stecken. Der Hersteller hatte damals reagiert, gab eine entsprechende Meldung und die benötigten Patches heraus, um die Lücken zu schließen. Nicht gepatchte Modelle sind weiterhin im Netz zu finden und es existieren Exploits, um die Kameras erfolgreich anzugreifen. Laut einer Analyse des Sicherheitsunternehmens Cyfirma konnte man bei einer Stichprobe mehr als 80.000 Hikvison-Cams mit von außen erreichbaren Webserver aufspüren, die noch anfällig für die Sicherheitslücken sind. Gelistet ist die schwere Lücke unter CVE-2021-36260. Aufgrund der unzureichenden Eingabevalidierung können Angreifer die Schwachstelle ausnutzen, um einen Command-Injection-Angriff zu starten, indem sie einige Nachrichten mit bösartigen Befehlen senden. Bewertet wurde die Schwachstelle mit einem Schweregrad von 9,8. Hat ein Angreifer Zugang zu eurem Netzwerk, oder ist die Kamera aus dem Internet erreichbar, dann kann sie angreifbar sein.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Na Problem ist, das die angebotene Firmware, die auf den Servern bei Hikvision liegen, irgendwie nicht zu den Gerätemodellen passt und beim Aufspielen abbrechen.
Gerade bei den verschiedenen günstigen Geräteserien wie DS-2CD20XX also z.B. DS-2CD2086, DS-2CD2086G2, DS-2CD2085 Modellen.
Manche gehen Updaten und manche bricht es beim Updaten direkt ab. Und für mache findet man gar keine aktualisierte FW.
Firmware findet man übrigens hier am besten: https://www.hikvisioneurope.com/eu/portal/?dir=portal%2FTechnical%20Materials%2F00%20%20Network%20Camera%2F00%20%20Product%20Firmware
Wissen muss man nur welche Platform man hat, das findet man im Web-GUI Unter System-Basisinformation: „Firmware-Version Eigentum“. Beispiel: B-R-R6-0 ist eine R6 Platform. B-R-G5-0 ist eine G5 Platform.
Hatte eigentlich bisher mit den Upgrades gute Erfahrungen, aktuell habe ich aber gerade eine DS-2CD3356G2-ISU die die Firmware Dateien nicht annimmt obwohl sie eigentlich passen müssten. Immerhin flasht sie sich nicht leichtfertig mit falscher Firmware selber kaputt.
Gibt es Vorschläge für gute halbwegs günstige Kameras (AXIS ist etwas teuer…) mit besserem Firmware Support? Der von Hikvision ist immerhin nicht ganz furchtbar.