Una empresa de California trabaja a marchas forzadas para corregir una puerta trasera que aparentemente existe en una gran cantidad de DVR, CCTV y cámaras IP que fabrica.

Los ingenieros de Dahua Technology USA comenzaron a emitir actualizaciones de firmware para la falla, algo que la compañía dice proviene de "un pequeño fragmento de código". La compañía dijo que su equipo de seguridad continúa investigando otros modelos que fabrica y proporcionará actualizaciones para cualquier dispositivo afectado que se presente.

El investigador independiente Bashis descubrió la puerta trasera y publicó un código de prueba de concepto para automatizar un ataque en la lista de correo de Full Disclosure.

"Estoy sin palabras, y casi no sé lo que debo escribir... Yo (apenas) puedo creer lo que acabo de encontrar", escribió Bashis, "Acabo de descubrir (lo que creo firmemente que es una puerta trasera) Dahua DVR / NVR / IPC y todos sus posibles clones ".

Bashis retiró la prueba de concepto a petición de Dahua, pero dijo que la volvería a publicar en 30 días, el 5 de abril, después de que la compañía haya tenido tiempo para remediar el problema.

El investigador, que ha revelado otros dos errores, un desbordamiento crítico de heap en los dispositivos NAS de QNAP y una cadena de formato remoto en los dispositivos de comunicaciones de Axis, en el último año, dijo que su política personal es compartir la información sobre vulnerabilidades antes de notificar a los proveedores.

La puerta trasera, a la cual Dahua se refiere como una vulnerabilidad, existe en una gran cantidad de cámaras HDCVI, cámaras IP y DVR fabricadas por la compañía.

El lunes, en una carta (.PDF) a clientes y socios, la compañía dijo que su equipo de seguridad "aisló un pequeño fragmento de código" que desencadenó la vulnerabilidad y que está en proceso de desarrollar una serie de parches de firmware para el problema. En la carta, Dahua minimiza la puerta trasera y enfatiza que no fue el resultado de un ataque malicioso en una instalación específica. En su lugar, la compañía afirma que salió a la luz debido a que Bashis estaba "realizando pruebas independientes en los productos de vigilancia de varios proveedores".

La puerta trasera permite el acceso remoto no autorizado a través de Internet, como el investigador señala. Si un atacante tiene acceso a una URL especial, puede eliminar, agregar o cambiar el nombre del usuario administrador, o cambiar la contraseña para el usuario. Bashis afirma que un atacante podría descargar de forma remota un archivo de configuración, esencialmente una base de datos de usuarios que contiene "todas las credenciales y permisos", elegir un usuario administrador, copiar el nombre de inicio de sesión y el hash de la contraseña y usarlo para acceder de forma remota a un dispositivo Dahua.

No está exactamente claro cuántos productos han sido afectados por la puerta trasera. Hasta ahora, Dahua ha emitido actualizaciones de firmware para 11 modelos afectados, tres DVR y ocho cámaras IP, pero es probable que salgan más durante el próximo mes.