Eestis on paarsada väljapressimistele avatud Hiina tootja valvekaamerat lappimata turvaaukudega
11. mai 2022, 16:44
/nginx/o/2022/05/11/14544543t1he9dc.jpg)
Eilse seisuga oli Riigi Infosüsteemi Ameti (RIA) analüüsi tulemusel Eesti küberruumis ligi poolteist tuhat Hiina kaameratootja Dahua seadet, mis on internetist lihtsasti nähtavad. CERT-EE tuvastas, et ligi 13% neist seadmetest on endiselt potentsiaalselt vähemalt ühe turvanõrkuse vastu haavatavad, kirjutatakse RIA blogis.
Uuring näitab, et kõigil soovijatel on väga lihtne leida internetist haavatavusega seadmed ja neid siis ära kasutada kas kompromiteeritud kaamera videopildist tundlikku info kogumiseks (näiteks ärisaladuste vms), kasutada kogutud infot väljapressimiseks või liita see seade robotite võrgustikuga, mille abil panustatakse seadme võimsust omaniku teadmata mõne teenusetõkestusründe korraldamiseks. Samuti võib kaamera omanik saada trahvi GDPRi põhjal isikuandmete lekitamise eest.
CERT-EE on võimalike haavatavate seadmete kohta omanikele sellest juba teada andnud. Kaamera turvanõrkused on praeguseks parandatavad tarkvarauuendusega. Seni ei ole CERT-EEle teada ühtegi kuritarvitamise juhtumit.
Kaks turvaohtu, mis puudutavad Dahua kaameraid, on kriitilised turvanõrkused CVE-2021-33044 ja CVE-2021-33045. Need on koguni nii kriitilised, et said kümne punkti skaalal ohutasemeks 9,8 punkti.
Turvanõrkuste abiga on ründajal potentsiaalselt võimalik haavatavad seadmed üle võtta ja kasutada neid kuritegudeks. Erinevad tööriistad nõrkuste ärakasutamiseks on avalikult kättesaadavad ja nende kasutamine on lihtne. Näiteks üht turvanõrkust saab ära kasutada vaid vastava brauserilaiendusega, mis peab olemas olema kaamera veebilehte külastades.
Haavatavate seadmete ja tarkvaraversioonide pikk nimekiri asub siin.
Vastumeetmena soovitab RIA kiiresti kaamera tarkvara uuendada, mille juhendid leiab siit. Samuti on mõistlik piirata kaamerale ligipääsu väljastpoolt kas IP aadressi järgi või kasutada kaamerapildi vaatamiseks turvalist VPN kanalit.