Las contraseñas de acceso para decenas de miles de dispositivos Dahua se almacenaron en caché dentro de los resultados de búsqueda devueltos por ZoomEye, un motor de búsqueda para descubrir dispositivos conectados a Internet
Descubierto por Ankit Anubhav, Investigador Principal de NewSky Security, una compañía de ciberseguridad especializada en seguridad de IoT, estas contraseñas son para los DVR de Dahua que ejecutan firmware muy antiguo que es vulnerable a una vulnerabilidad de cinco años.
La gente todavía está ejecutando DVR con firmware antiguo
Esta vulnerabilidad es CVE-2013-6117, descubierta y detallada por Jake Reynolds, un investigador de seguridad con Depth Security.
Un atacante puede iniciar una conexión TCP sin formato en un Dahua DVR en el puerto 37777 para enviar una carga especial.
Una vez que un dispositivo Dahua recibe esta carga útil, responde con credenciales DDNS para acceder al dispositivo y a otros datos, todo en texto sin formato.
La vulnerabilidad se conoce desde 2013 y ha sido reparada desde entonces, pero muchos propietarios de dispositivos Dahua no han podido actualizar sus equipos, e incluso hasta el día de hoy han seguido implementando DVR que ejecutan el firmware anticuado en línea.
Contraseñas Dahua indexadas en ZoomEye
Pero si bien esto suena bastante mal, las cosas en realidad son peores. A principios de esta semana, Anubhav descubrió que el motor de búsqueda de Io ZoomEye ha estado indexando estos dispositivos Dahua de una manera peculiar.
"La cuestión de hecho es que un hacker no necesita explotar esta vulnerabilidad porque a medida que ZoomEye escanea el puerto 37777, pasa estos bytes especiales y guarda el resultado en texto plano, por lo que un hacker solo necesita ir a ZoomEye, crear una cuenta gratuita y elimine los resultados para obtener las credenciales ", dijo Anubhav a Bleeping Computer en una conversación privada.
Anubhav ha intentado ponerse en contacto con el equipo de ZoomEye para que las contraseñas en caché se eliminen o difuminen de los resultados. Una solicitud de Bleeping Computer el día de hoy también se ha ido sin respuesta.
Los investigadores de NewSky dicen que se enteró del truco de una publicación publicada por el autor del malware BrickerBot IoT, el que estuvo en una cruzada el año pasado, bloqueando dispositivos no seguros en un intento de desconectarlos en lugar de agregarlos a IoT botnets
Anubhav dice que el autor de BrickerBot le dijo que usó CVE-2013-6117 para secuestrar y grabar DVR Dahua en el pasado.
"Se continúan añadiendo nuevos dispositivos en ZoomEye, por lo que incluso si Janitor bloqueó algunos en pasado, este problema aún persiste ya que ZoomEye actualmente enumera los dispositivos recientemente agregados", nos dijo Anubhav.
Decenas de miles de dispositivos desenterrados con tan solo tres buscadores
Una búsqueda rápida de Bleeping Computer ha desenterrado una cantidad preocupante de dispositivos vulnerables. Por ejemplo, encontramos casi 15,800 dispositivos Dahua con una contraseña de "administrador", más de 14,000 con una contraseña de "123456" y más de 600 con una contraseña de "contraseña".
Eso es alrededor de 30000 dispositivos Dahua que ejecutan firmware más antiguo y están listos para ser tomados, y los encontramos con solo tres consultas.
Fecha actualización el 2021-07-16. Fecha publicación el 2018-07-16. Categoría: windows Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer