'Criminelen maken kwetsbare Hikvision-camera's onderdeel van botnet'

Criminelen lijken actief misbruik te maken van een kwetsbaarheid in Hikvision-beveiligingscamera's. Die camera's zouden hiermee worden opgenomen in een ddos-botnet of het netwerk van gebruikers kunnen aanvallen.

De actieve aanvallen op kwetsbare Hikvision-camera's werden onlangs opgemerkt, schrijft ook Security.nl. Het gaat om een actieve command-and-control-server die een ddos-botnet met geïnfecteerde camera's van Hikvision en ook Netgear aanstuurt.

In het geval van Hikvision wordt gebruikgemaakt van een oudere kwetsbaarheid, die wordt aangemerkt als CVE-2021-36260. Deze bug werd in september vorig jaar opgemerkt door Hikvision. De kwetsbaarheid zit in de webserver van bepaalde Hikvision-producten. Door 'onvoldoende validatie' kunnen criminelen commando's uitvoeren met rootprivileges. De kwetsbaarheid heeft een CVSS-ernstigheidsscore van 9,8 uit 10.

Om de aanval uit te voeren, hebben criminelen toegang tot de ip-camera nodig, bijvoorbeeld via internet. Cybersecuritybedrijf Rapid7 schrijft in een analyse dat er ongeveer 3 miljoen Hikvision-camera's te vinden zijn op iot-zoekmachine Shodan, hoewel niet al die modellen kwetsbaar zijn. Er zijn verder geen interacties van de gebruiker of 'privileges' nodig om de aanval uit te voeren. Rapid7 meldt verder dat de Hikvision-camera's niet alleen opgenomen kunnen worden in een botnet, maar ook gebruikt kunnen worden als netwerk-pivots tussen het interne netwerk van de gebruiker en internet. Overgenomen camera's zouden daardoor gebruikt kunnen worden om het interne netwerk van de gebruiker aan te vallen.

Hikvision bracht vorig jaar al firmware-updates uit die de kwetsbaarheid oplossen, hoewel gebruikers deze handmatig moeten installeren. Gebruikers wordt aangeraden om dat te doen. Het is ook verstandig om de camera's niet met internet te verbinden en af en toe opnieuw te starten. Dat is omdat het moeilijk is voor malware om persistent te zijn op iot-apparaten als camera's, hoewel configuratieveranderingen van de malware wel gewijzigd kunnen blijven na een reboot.

Reacties (85)

digibaro 22 februari 2022 18:00

Irritatie factor(tje) is dat de fabrikant onvoldoende lang de camera's van updates voorzien. De gemiddelde consument gaat niet elke 3 a 5 jaar de nog goed werkende camera's van de muur afschroeven en voorzien van een recenter model. In principe een probleem wat bij veel IOT apparatuur speelt.

[Reactie gewijzigd door digibaro op 23 juli 2024 11:18]

TD-er

@digibaro • 22 februari 2022 21:17

Nog een veel groter irritatie factortje is dat niet alleen de gewone consument deze camera's nog steeds koopt.
Dit terwijl al lang bekend is dat er serieuze veiligheidslekken zitten/zaten in best wel wat revisies van HikVision en Dahua camera's. Niet zelden bugs die zo idioot zijn dat je ze haast als "achterdeurtje" zou willen omschrijven.
De enige reden waarom deze bagger nog steeds gekocht wordt, is omdat ze een lage aanschafprijs hebben en qua specs best wel veel beloven voor dat geld.

Oon

@TD-er • 23 februari 2022 03:55

Dahua is helaas gewoon een van de betere merken als het om IP-camera's gaat. Mooie PoE-camera's onder de 200 euro, geen bullshit marketing zoals 4K nachtzicht, degelijk fysiek ontwerp en alles lekker lokaal draaien. Al die dingen los zijn al lastig te vinden, laat staan als je ze samenvoegt.

Wifi-camera's zijn er zat, 4K camera's die 's nachts bij ieder lichtje meteen nutteloos zijn ook, en camera's die op een server ergens in China je beelden verwerken om je notificaties te sturen zijn inmiddels standaard, maar dat zijn allemaal dingen die je expliciet wil vermijden als je camera's voor veiligheid wil gebruiken en niet voor de leuk.

dieAndereGozer @Oon • 23 februari 2022 12:50

Wifi camera's lijken me ook onzin. Gewoon miljarden de-auth pakjes in de lucht gooien en die dingen slaan niets meer op.

lb2001 @dieAndereGozer • 23 februari 2022 18:01

Heb hier een paar bedrade camera’s aan de schuur hangen, via een mesh toestel verbonden met het netwerk. Dus draadloos, maar niet via wifi.

De wifi cameras die er wel hangen blijven gewoon werken zonder internetverbinding. Dat is het mooie aan die dingen. Zijn van Imou (Dahua), leuk spul.

dieAndereGozer @lb2001 • 24 februari 2022 08:35

Zolang ze interne opslag hebben. En hoe groot is die? Gaat de camera daar overheen schrijven als de data vol is?

Allemaal heel belangrijk om te weten.

lb2001 @dieAndereGozer • 24 februari 2022 08:50

Ik heb er een sd kaart in zitten. Is die vol, dan overschrijft hij de oudste opnames. De 'bedrade' camera’s zijn verbonden met een recorder, dus die kunnen ze van de muur trekken wat ze willen, maar de beelden zijn opgeslagen.

Dat is dan wel een nadeel van die cameras met interne opslag. Trek ze van de muur en de beelden zijn weg.

Maar goed, beelden zijn niet weg als een of ander persoon een deauth-aanval uitvoert.

dieAndereGozer @lb2001 • 24 februari 2022 08:53

Ach, het is allemaal theoretisch. Als je slim genoeg bent om te de-authen, kan je de camera's meenemen / de server(mits lokaal).
Of je bent slim genoeg niet herkenbaar naar binnen te gaan.

lb2001 @dieAndereGozer • 24 februari 2022 09:02

Natuurlijk is niks 100% waterdicht, maar dit maakt het in elk geval iets moeilijker om ongezien door de tuin te sluipen.

Sietse Vliegen @TD-er • 23 februari 2022 12:33

De grote vraag is natuurlijk of andere camera’s deze kwetsbaarheden niet hebben. Vertrouw jij de Amerikaanse camera’s wel? Of kijkt de overheid daar ook gewoon mee?

DefaultError @digibaro • 23 februari 2022 10:56

Hier in huis ook camera's waarvan de hotspot nooit uitgezet kan worden. Firmware update's zijn er niet, kwestie van beter inkopen doen en achtergrond info doorspitten bij aanschaf.

Er is veel op de markt gedumpt en weinig toezicht op deze 'onschuldig lijkende' internet spullen.

kiang

@digibaro • 23 februari 2022 13:41

En daarom moet je deze rommel dus niet kopen (naast het feit dat Hikvision ook een bedrijf is dat een spilfiguur is in de genocide van de Oeigoren door de CCP).

Een betere oplossing is een open source oplossing zoals MotionEyeOS gebruiken. Of gewone camera's die je op een aparte VLAN zet die je centraal aanstuurt vanuit een platform dat wel onderhouden wordt, zoals dat van Synology. In ieder geval: houdt het in eigen beheer.

digibaro @kiang • 23 februari 2022 16:30

Misschien zie ik iets over het hoofd, maar MotionEyeOS is software voor de centrale (recorder) component. Van welke fabrikanten neem je de camera's af?

kiang

@digibaro • 23 februari 2022 16:33

Nope, MotioneyeOS is gemaakt om zowel op de centrale recorder als op de nodes te draaien: het idee is dat je een raspberry pi zero (of niet zero,w at jij wil) met een aangesloten cameramodule (of USB webcam) gebruikt als camera. Die stel je in als nodes, en 1 apparaat (met of zonder eigen camera) stel je in als server.

snelle intro: https://www.youtube.com/watch?v=H7p5YEOrlSc

[Reactie gewijzigd door kiang op 23 juli 2024 11:18]

MaxTheKing 22 februari 2022 17:01

En dit is precies de reden waarom IP camera's op een eigen, afgesloten VLAN zonder internettoegang horen.

Polderviking

@MaxTheKing • 22 februari 2022 17:12

Niemand die niet tot zijn kin in de networking zit gaat aan de gang met VLAN's natuurlijk.
Zeker niet thuis of je kleine kantoortje waar je wellicht niet eens managed networking hebt.

Gewoon niet aan internet knopen kom je een heel eind mee.
Hoezo knopen zo veel mensen gewoon ongezien zo'n camera aan internet?

[Reactie gewijzigd door Polderviking op 23 juli 2024 11:18]

Hulliee @Polderviking • 22 februari 2022 17:29

Waarom zou je niet met VLAN's aan de gang gaan? Juist thuis of op een klein kantoortje. Ik ben een tweaker en doe dit als hobby en omdat ik de boel thuis veilig wil houden. Daar leer ik dan veel van.

Ik snap dat de 'gewone' man/vrouw dit niet zo maar doet. Maar om te zeggen niemand..

Polderviking

@Hulliee • 22 februari 2022 17:54

Het aandeel mensen dat zo'n camera koopt dat überhaupt weet wat een VLAN is zal hoe dan ook erg laag zijn. Daar sloeg dat meer op.

aadje93 @Polderviking • 22 februari 2022 19:02

En die mensen kopen dan een NVR van dezelfde oem die dus de kwetsbaarheid ook heeft helaas. Cameras in een vlan is echt tweakers werk. De gemiddelde gebruiker heeft denk allast met het vinden van 192.168.1.1 wat het standaard ip is van hikvision cameras ipv dat ze gewoon op dhcp staan 🤦‍♂️

bommel @aadje93 • 22 februari 2022 20:09

Je zou zo’n camera ook in gasten WiFi kunnen hangen. Als het goed is er op dat netwerk alleen internet toegang en geen toegang tot het lokale netwerk. Dat lost niet alles op maar reduceert wel de impact…

TD-er

@Polderviking • 22 februari 2022 21:20

Het aandeel mensen dat zo'n camera koopt dat überhaupt weet wat een VLAN is zal hoe dan ook erg laag zijn. [...]

Op zich is dat waar... Helaas zijn het dan ook niet de techneuten die over de budgetten gaan.
Je wilt niet weten hoe vaak dit soort bagger nog steeds door (lokale) overheden aangeschaft wordt.
Niet zelden onder de noemer van "dit moet even snel geregeld worden, nee geen tijd, geen geld, moet nu!"

Indentical @Polderviking • 23 februari 2022 14:04

Yep, dit dus.

Sterkernog... de meeste ISP routertjes ondersteunen geen VLANs. Als je daar dan wat mee wilt moet je een managed switch kopen.

aadje93 @Polderviking • 22 februari 2022 19:02

dr86 @Hulliee • 22 februari 2022 18:27

Ik denk eerder dat de gewone man/vrouw geen idee heeft waar je het over hebt. Die wilt gewoon een camera ophangen en de beelden terug kunnen zien.

Remenic @dr86 • 22 februari 2022 19:02

Eens, maar er zijn oplossingen en het is goed dat er een wordt opgenoemd. Dat die niet door iedereen toegepast kan worden, doet daar weinig aan af. Misschien kun jij voor die 'gewone' man/vrouw een eenvoudigere oplossing bedenken?

Mellow Jack @Hulliee • 23 februari 2022 19:08

Wat los je op met vlan's? Normaliter heb je geen domein / shared users en staat je firewall aan op je andere devices terwijl je alsnog een lintje vanaf het internet naar je camera hebt.

Persoonlijk vind ik het erger als iemand mn camera hacked en de beelden kan zien dan dat ik bang ben dat iemand kan doorhoppen naar een 2e device in m'n netwerk

Als je echt je camera vanuit buiten beschikbaar wilt hebben lijkt een 2e device (zoals een NAS) of/en een VPN effectiever

Sando @Polderviking • 22 februari 2022 17:35

Niemand (..) gaat aan de gang met VLAN's natuurlijk. Gewoon niet aan internet knopen kom je een heel eind mee. Hoezo knopen zo veel mensen gewoon ongezien zo'n camera aan internet?

Hoe moet je anders je huis of huisdier in de gaten houden als je een paar dagen weg bent? Of opnames op je NAS maken? Of een bericht krijgen als er iemand aan je schuur loopt te prutsen?

Gewoon geen camera kopen, kom je ook een heel eind mee. /s

[Reactie gewijzigd door Sando op 23 juli 2024 11:18]

Polderviking

@Sando • 22 februari 2022 17:52

Je gebruikt je camera's toch in de basis in combinatie met een DVR/NVR/NAS van het een of ander? Je zal ergens heen moeten met je opnames ook.

Dat is dan ook het apparaat die ik eventueel van buitenaf bereikbaar zou maken.
Niet de camera zelf.

[Reactie gewijzigd door Polderviking op 23 juli 2024 11:18]

Hulliee @Polderviking • 22 februari 2022 18:59

Idd en dan hangen je camera's mooi in een VLAN welke op je NAS de beelden opslaat. Via een VPN maak je vervolgens verbinding met je NAS vanaf buiten, internet. ;-)

Polderviking

@Hulliee • 22 februari 2022 19:07

Ik snap deze reactie niet in de context van het draadje?

Hulliee @Polderviking • 22 februari 2022 19:33

Jij geeft aan in combi met DVR/NVR/NAS. Ik geef aan hoe je je HikVision/IPcam nog veiliger in je netwerk kunt hangen. Door zelfs je beelden op DVR/NVR/NAS niet aan het internet hangen.

whiner @Hulliee • 22 februari 2022 20:02

Precies. Zo moet het. Maar ook een VPN opzetten is voor vele te moeilijk

Sando @Polderviking • 23 februari 2022 05:02

Ik reageer op de stelling dat vrijwel niemand een apart VLAN zonder internettoegang zou maken maar dat dat ook niet nodig zou moeten zijn als je je camera maar niet aan internet knoopt.

Om de beelden naar de NAS weg te schrijven moet je camera toch echt in je LAN zitten, en heeft dan dus ook Internet. Misschien denk ik automatisch aan een ip-camera en de persoon waar ik op reageer aan een ouderwetse DVR waar je niet op afstand bij kunt. Dat is een andere use case.

rob12424 @Polderviking • 22 februari 2022 18:12

Omdat ze hun hond in de gaten willen houden als ze niet thuis zijn o.a.

Of wat dacht je van de Ring deurbel voor de pakket bezorger. Is in feite ook een op camera

Polderviking

@rob12424 • 22 februari 2022 19:00

RING is dan een grappig voorbeeld want dat is er exact precies op gemaakt om gebruikt te worden door mensen zonder voorkennis.
Dat zijn producten die je door een installatie lopen en dan is dat gewoon betrekkelijk oké ingericht omdat dat gewoon met een grote Cloud overlord praat.

Als jij naar een winkel gaat en zegt dat je je huisdier in de gaten wil houden en je komt dan terug met een losse Hikvision beveiligingscamera ipv gewoon een Nest camera ofzo heeft er toch ergens iemand zitten prutsen.

[Reactie gewijzigd door Polderviking op 23 juli 2024 11:18]

Wraldpyk @Polderviking • 22 februari 2022 17:26

Hoezo knopen zo veel mensen gewoon ongezien zo'n camera aan internet?

"Dan kan ik makkelijk vanaf mijn telefoon eventjes meekijken".

Internet verbinding van een camera is juist een van de USP's. Maar juist de gebrekkige kennis van veel mensen zorgt ervoor dat veel van deze camera's onbeveiligd of met stnadaard wachtwoord online gaat helaas.

MaxTheKing @Polderviking • 22 februari 2022 17:48

Gewoon niet aan internet knopen kom je een heel eind mee.

Dit is inderdaad het aller belangrijkste. En als je wel direct toegang tot de camera wil dan gebruik je een VPN.

Dit is voor ons Tweakers natuurlijk vanzelfsprekend, maar de gemiddelde John Doe die zo'n camera vanaf buiten wil benaderen kiest voor port forwarding, want dat is de simpelste oplossing.

Amanoo @Polderviking • 22 februari 2022 18:13

Managed networking heb je al best gauw. Ik kwam er laatst achter dat ik een managed switch in mijn netwerk heb zitten. Als je een beetje degelijke switch koopt, nog niet eens per se een dure, kan die al zomaar eens een managed model zijn.

Kennis om het op te zetten, dat is wel een tweede.

[Reactie gewijzigd door Amanoo op 23 juli 2024 11:18]

grrfield @Polderviking • 22 februari 2022 19:23

Zeer vaak wel volgens mij. Om te kijken op de gsm wie er aan de deur staat, om te kijken of alles nog in orde is op het buitenverblijf en of er eventueel geen everzwijn in het zwembad beland is, .... Ik ken er genoeg.

TweakerCarlo @MaxTheKing • 22 februari 2022 17:31

Het is wel wat werk en je moet gaan ducumenteren want dit stel je in, jaren later verander je iets. Hoe was dat dan ook alweer.
Je kan trouwens ook dat ip isoleren in een zelfde lan.
Alleen bereikbaar via een poort vanuit jou lokale range.
Geen gateway geven.
Wil je extern bij. Niet mogelijk ook niet via truukjes die je snel toepast en later ook weer vergeet.

MaxTheKing @TweakerCarlo • 22 februari 2022 17:50

Het is wel wat werk en je moet gaan ducumenteren want dit stel je in, jaren later verander je iets. Hoe was dat dan ook alweer.

Mwah, dit valt an sich wel mee hoor. Ik heb zelf gewoon een VLAN voor CCTV waar zowel de camera's als de NVR (Blue Iris VM) in zitten. Niet zo heel spannend allemaal.

TweakerCarlo @MaxTheKing • 22 februari 2022 17:59

Dat kan zeker zo. Werkt waarschijnlijk ook goed. Hoe groot is dat subnet? Nooit tegen conflicten aangelopen? Apparaten die elkaar niet hoeven zien moeten dat ook niet kunnen .
Met een lokaal afgesloten subnet extra is het allemaal niet complex. Second that.

Dan komt iot in huis. Game consoles, TVs, koelkasten, koffiezet apparaten. Wil je het goed doen en blijven onthouden denk ik toch dat documentatie must is. Je wil niet later er achter komen dat je koelkast je Fotomap encrypt heeft omdat je die via de TV wil kunnen bekijken. Daar gaan we allemaal naar toe.

Ik was laatst bij iemand. Mag ik wifi. Ja tuurlijk hier is het ziggo kaartje met de inlog. Ik denk ik ga eens scannen. Kwam letterlijk overal in. Er waren zelfs smb shares met data waar ik kon schrijven en lezen als gast. Het ziggo modem kon ik ook in. Kreeg zelfs de mogelijk het initiele password te veranderen. Ik heb het gemeld. Maar maakte niet uit. Ook goed.

Alles met elkaar verbinden is super cool. Als je weet wat je doet en dan nog mis je wel eens iets. (ik iig) En daar kwam je dan achter als het te laat was.

[Reactie gewijzigd door TweakerCarlo op 23 juli 2024 11:18]

whiner @TweakerCarlo • 22 februari 2022 20:07

Tja, als je vrienden hebt die je lokale netwerk omzeep proberen te helpen.

Meestal komen er alleen mensen op je lokale netwerk die je vertrouwt.

TweakerCarlo @whiner • 22 februari 2022 20:19

Haha. Wat ik deed is niet strafbaar vind ik (ik begin hier over). Ik heb alles gelaten zoals het is. Daarvoor ben je vrienden. En die kring kan je waarschuwen/helpen mits ze willen. Anders is het gemeld. Ook goed.

Vraag maar eens ergens de WiFi code. Zeker bij vrienden/buren etc. Het gebeurt veel te vaak. Kom je later daar kan je nog verbinden ook met toen gegeven wachtwoord.

Is er bijv een andere iPhone gebruiker kan je het delen zonder dat jij het wachtwoord kan inzien. Dus iemand anders inlaten typen is ook niet veilig…

Laat staan horeca waar de camera’s kassa, alarm, licht, audio, video sturingen op het zelfde netwerk zit als de gasten.

Kan nog wel ff doorgaan. Met dit soort apparaten komt verantwoordelijkheid en die word niet genomen want die kennis is duur en zelf leren is niet mogelijk omdat het te complex is voor de gemiddelde consument. Aansluiten en het werkt toch?

[Reactie gewijzigd door TweakerCarlo op 23 juli 2024 11:18]

Cyb @MaxTheKing • 22 februari 2022 17:55

VLANs zijn ook niet heilig. Hikvision camera's op VLANs kunnen prima werken voor niet interessante targets, maar voor bijv. overheden, politici en bedrijven met gevoelige data, is dat niet voldoende, of zelfs een schijnveiligheid.

[Reactie gewijzigd door Cyb op 23 juli 2024 11:18]

TD-er

@Cyb • 22 februari 2022 21:24

Yep, want alle andere cameras zitten ook lekker op datzelfde VLAN, net als de NVR waar alle beelden op opgeslagen worden. (dat laatste hoeft niet, maar is niet ongebruikelijk)

Cyb @TD-er • 22 februari 2022 21:42

En het risico bestaat is dat dergelijke ingebouwde backdoors kunnen bevatten, waardoor bijv. buitenlandse inlichtingendiensten (via wifi) toegang tot de camera's kunnen krijgen voor spionage doeleinden. Ook kunnen de camera's zelf (indien een wifi chip aanwezig is) ingezet worden voor diverse wifi aanvallen.

n4m3l355 @MaxTheKing • 23 februari 2022 05:47

Ik vraag me toch echt af waar jullie je bevinden. Ik heb zelf thuis meerdere camera's (ik zit niet in Nederland) en het is juist het doel van de camera's dat ik een berichtje krijg als er iets ongewoons gebeurd. Vaak is het de schoonmaakster of een delivery jongen, maar soms ook iets ongewoons en dan is het peace of mind dat er eigenlijk niks aan de hand is als ik buiten de deur ben voor een kop koffie en de kleine is nog thuis met het hulpje. Dit soort producten zijn juist ontwikkeld om op afstand in te kunnen loggen en dan mag je toch ook wel verwachten dat deze out of the box veilig zijn. Niets is helaas minder waar, maar nog kwalijker is naar mijn inziens dat producten waarvan bekend zijn dat ze misbruikt worden, nog gewoon door de fabrikant worden verkocht. Wanneer wordt bijvoorbeeld HIKVision verantwoordelijk gehouden voor het enerzijds niet uitbrengen van een patch, maar tegelijk ook gewoon zooi blijft verkopen. Dit is toch onacceptabel dat ze nog uberhaubt in de markt mogen blijven?

MaxTheKing @n4m3l355 • 23 februari 2022 09:11

Ik krijg ook notificaties van mijn camera's via de Blue Iris app.
Mijn NVR benader ik door middel van een subdomein welke door cloudflare wordt geproxied, uiteraard hebben alleen de CloudFlare subnets toegang tot poort 443 van buitenaf.

Sietse Vliegen @MaxTheKing • 23 februari 2022 12:53

Als jij erbij kunt via CloudFlare, kan een ander dat ook.

MaxTheKing @Sietse Vliegen • 23 februari 2022 13:18

Dat klopt, gelukkig heb ik de beveiliging goed op orde

EraYaN @MaxTheKing • 22 februari 2022 17:08

Of gewoon een firewall, in dit geval moeten de aanvallers bij de camera kunnen van buiten af. Dat is natuurlijk nooit een goed idee.

WillySis @MaxTheKing • 22 februari 2022 17:17

Ik heb ook twee HikeVision camera's hangen, maar omdat is HikeVision beslist niet vertrouw vanwege de nauwe banden met de overheid heb ik ze inderdaad in een eigen netwerkje gehangen. Dat netwerkje is wel gekoppeld met het gewone netwerk, maar er zit een firewall tussen die maar een paar poorten open heeft staan. Ik kan zo vanaf het gewone netwerk (en internet) toch de beelden zien. Spreken is niet mogelijk, want de communicatie mag maar één kant op.

xbeam @MaxTheKing • 22 februari 2022 18:07

Dat maakt niet zo veel uit. Grote kans dat jou netwerk vatbaar is en dat zijn alle netwerken waar sip/voip/ftp op gebruikt kunnen worden voor NAT slipstreaming 2.0 waardoor 1 verkeerde website bezoek al genoeg is al om jouw apparaat vanaf buiten te benaderen.

Zie hier de uitwerking en video voorbeelden van een aanval. Binnen 1.5 minuut hebben ze toegang tot de camera en printers
https://www.armis.com/research/nat-slipstreaming-v20/

The new discovery includes a method to bypass NATs and firewalls to reach any device on the internal network. While the original attack was partially mitigated by a browser patch,

Uit een rondje langs alle internet browsers blijkt dat ook niet alle browser alle mogelijke aanval tegenhouden. En dat browser regelmatig nieuwe porten dicht moeten zetten https://secureteam.co.uk/...t-nat-slipstream-attacks/

https://github.com/whatwg/fetch/pull/1148

So Chrome did not block 554, does Firefox? @youennf does Safari?
Safari is blocking it right now. @ricea, could you share the rationale for Chrome to not block 554?

https://github.com/whatwg/fetch/issues/1189

Given the drip-by-drip expansion of the bad port list over time, I wonder whether it's reasonable to invert the list. Skimming through HTTP Archive, for example, ~99.94% of URLs requested are using the default port, and a substantial amount of the rest are specifying well-known ports like 8080, 8443, 444, 8090, 8081, 81, 8000, 443, and so on.

Given that we know there's real risk here, perhaps coming up with a feasible allowlist (with user-agent specific carveouts via devtools and/or enterprise policy) would be a good use of our time?

[Reactie gewijzigd door xbeam op 23 juli 2024 11:18]

dingo35 @MaxTheKing • 22 februari 2022 19:26

En dit is precies de reden waarom IP camera's op een eigen, afgesloten VLAN zonder internettoegang horen.

En als je toch internet toegang wenst tegenwoordig hebben de meeste routers wel een "guest" wifi netwerk waarbij de clients van elkaar en van het LAN gescheiden zijn, zodat ze in ieder geval niet je LAN op kunnen.

Voor de meeste leken een stuk simpler dan een VLAN installeren....

humpus @MaxTheKing • 22 februari 2022 19:37

Maar hoe moet ik dan gebruik maken van mijn vendor supplied cloud storage om mijn opnames te bekijken?

IIIIIIIIIIII 22 februari 2022 16:59

Wat is de reden dat zo'n update handmatig uitgevoerd moet worden als het toch al verbonden is met het internet?

The Zep Man

Beveiliging en antivirus
Internet
Malware

@IIIIIIIIIIII • 22 februari 2022 17:00

Sterker nog, camera's zonder update zouden prima van een update voorzien kunnen worden via dezelfde weg als die gebruikt wordt om er botjes van te maken.

Het mag niet (computervredebreuk), maar het kan wel.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 11:18]

Frozen @The Zep Man • 22 februari 2022 17:07

Zijn er naar jouw weten ook dit soort "indringers met een goed hart" die dit ook doen?

iemand943 @Frozen • 22 februari 2022 17:15

Recent met het Log4Shell exploit scheen er een groep mensen in Minecraft rond te gaan die dus een patch uitvoerde via de exploit zelf, geen idee of het waar is.

The Zep Man

Beveiliging en antivirus
Internet
Malware

@Frozen • 22 februari 2022 17:17

Je vindt in ieder geval genoeg mogelijkheden als je zoekt. Een voorbeeldje.

Anoniem: 58485 @Frozen • 22 februari 2022 22:09

Ik kreeg veel spambots op o.a een eigen contactformulier, ondanks de beveiliging. Uiteindelijk ben ik zelf aan de slag gegaan en het waren vooral outdated routers dat gehacked waren.

Wifi SSD geupdate met "You are hacked, please update" - admin pass veranderd (zodat men de reset wel in moet drukken). Nja je kunt nog zo wel doorgaan maar het internet zou al een stuk schoner zijn als alles niet outdated was.

digital8 @The Zep Man • 22 februari 2022 17:02

^ dat dus, wie schrijft er even een scriptje....

Silver7 22 februari 2022 16:58

Als het zo lastig is, waarom dan niet terugroepactie?

tweaknico @Silver7 • 22 februari 2022 19:52

Voor gooi maar over de muur hardware + software?.....

Frozen 22 februari 2022 16:58

Laat het nou net zo zijn dat veel van deze "omstreden camera's" in Nederland worden gebruikt door "de overheid": https://nos.nl/artikel/24...rland-ook-bij-ministeries

Ook bij de ministeries van Financiën en een gebouw van het ministerie Binnenlandse Zaken hangen Hikvision-camera's, net als bij de Poolse ambassade. Ook op de route naar het Vredespaleis hangt er een; daar zit het Permanent Hof van Arbitrage, waar internationale conflicten worden uitgevochten.

Ik ben benieuwd of deze ook kwetsbaar zijn.

Brahiewahiewa @Frozen • 22 februari 2022 18:24

Want jij hebt toegang tot het beveiligings LAN van Financiën en BiZa?

habbekrats 22 februari 2022 17:32

In een Vlan en als je dat niet hebt blokkeren in je router voor uit- en ingaand verkeer.

xbeam @habbekrats • 22 februari 2022 17:48

Dat maakt niets uit. Grote kans dat jou netwerk. Dat zijn alle netwerken waar sip/voip gebruikt wordt vatbaar is voor NAT slipstreaming waardoor 1 verkeerde website bezoeken genoeg om al jou apparaat van af buiten te benaderen.
https://nl.hardware.info/...lledige-netwerk-aanvallen

Je browsers en firewall keuze is veel belangrijker

[Reactie gewijzigd door xbeam op 23 juli 2024 11:18]

dieAndereGozer @xbeam • 23 februari 2022 12:55

Cool.

Blij dat ik standaard noscript draai en sites waarvan ik het enigszins vertrouw de JS in stukken aanzet totdat het net werkt.

xbeam @dieAndereGozer • 23 februari 2022 19:13

http://samy.pl/webscan/

dieAndereGozer @xbeam • 24 februari 2022 08:35

WebRTC staat inderdaad ook gewoon uit. Dat is geloof ik advies nummer 1 bij browser strengthening.

JDoorman 22 februari 2022 17:43

om e.e.a. in perspectief te plaatsen:

https://www.cctv.co.uk/ho...eras-are-there-in-london/

waar hebben we het eigenlijk over?

xbeam @JDoorman • 22 februari 2022 18:25

Welk perspectief?
https://www.cybersecurity...ical-cyber-vulnerability/

Over 100 million Hikvision devices hit

xbeam 22 februari 2022 17:41

Dit botnet is al bekend sinds februari vorig jaar

Dus als security.nl dit nu pas opmerkt zijn wel erg laat. Misbruik vindt al sinds 8 december plaats
https://www.bleepingcompu...sion-camera-vulnerability

A Mirai-based botnet called 'Moobot' is spreading aggressively via exploiting a critical command injection flaw in the webserver of many Hikvision products.

Verspreid van het botnet is al een jaar bekend.
https://securityaffairs.c...bot-botnet-hikvision.html

The Mirai-based Moobot botnet is rapidly spreading by exploiting a critical command injection flaw,
tracked as CVE-2021-36260, in the webserver of several Hikvision products. The Moobot was first documented by Palo Alto Unit 42 researchers in February 2021,

hikvision wist al sinds Juni via welke bug er verspreid plaats vindt

The company states that the attacker can exploit the flaw only if he has access to the device network or the device has direct interface with the Internet. The vulnerability was reported to the vendor in June, .

https://watchfulip.github...-Unauthenticated-RCE.html

Timeline

Vulnerability discovered: Sunday 20 June 2021

Manufacturer notified of issue: Monday 21 June 2021 16:16 to HSRC@hikvision.com and support.uk@hikvision.com. Unfortunately HSRC didn’t receive this due to it being caught by a spam filter.

Wednesday 23 June 2021 01:00 Follow up email to HSRC@hikvision.com and 400@hikvision.com, additionally sent pdf copy of email via vulnerability submission form at https://www.hikvision.com...security/report-an-issue/

Wednesday 23 June 2021 04:27 received reply from HSRC@hikvision.com requesting report on my findings.

Wednesday 23 June 2021 05:40 v1.0.0 of vulnerability details (WIP-2021-06-HIK-2) emailled to HSRC@hikvision.com

Wednesday 23 June 2021 07:42 HSRC confirm they have reproduced the issue.

Wednesday 07 July 2021 Request for disclosure timeline and CVE details in the next 7 days.

Sunday 12 July 2021 HSRC inform me of the CVE ID they have applied for (CVE-2021-36260)

Wednesday 04 August 2021 notify HSRC of my intention to make limited public disclosure 90 days after my initial report 20 September 2021. I insist companies/end-users know there is risk and they need to update devices.

Tuesday 17 August 2021 HSRC send patched IPC_G3 (built 28 June 2021) and IPC_H5 (built 28 June 2021) for testing

Wednesday 18 August 2021 informed HSRC testing on patched firmware complete – urge them to release firmware as soon as possible on all firmware portals.

Saturday 18 September 2021 Hikvision and I publish our respective advisory/report

[Reactie gewijzigd door xbeam op 23 juli 2024 11:18]

itlee 22 februari 2022 17:46

les 1, je beveiligingscamera nooit blanco aan t internet hangen,... probleem opgelost.

Pro-alarm @itlee • 23 februari 2022 14:12

Eens we adviseren altijd om een netwerkrecorder er tussen te plaatsen. Deze NVR's worden door Hikvision minimaal 5 jaar ondersteund met security patches. Overigens is de P2P verbinding niet verplicht en zijn deze prima standalone te draaien.

rusc 22 februari 2022 18:25

Mensen hier zullen we website insecam.org wel kennen; ik heb al menig bedrijf aangeschreven zodra ik er achter was waar de camera zich bevond.
Meestal krijg je geen reactie en vaak blijft de camera ook actief, zoals deze in een supermarkt in Rotterdam: http://insecam.org/en/view/883755/
Een ander voorbeeld was een camera in een groentewinkel in Den Haag, deze werd nadat ik ze er op gewezen had dat 'de hele wereld kon meekijken', afgeplakt en was dat maanden later ook nog; men heeft vaak niet genoeg kennis van deze zaken.

Op dit item kan niet meer gereageerd worden.

'Criminelen maken kwetsbare Hikvision-camera's onderdeel van botnet'

Lees meer

Reacties (85)

Sorteer op:

Weergave: