CVE-2021-33044

Dahua IP Camera Firmware

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-08-21

Официальное описание

Dahua IP cameras and related products contain an authentication bypass vulnerability when the NetKeyboard type argument is specified by the client during authentication.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-33044 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в прошивках IP-камер и видеорегистраторов Dahua. Проблема заключается в некорректной обработке процесса авторизации при использовании специфического типа аутентификации — NetKeyboard.

Злоумышленник может отправить специально сформированный пакет данных, указав в параметрах запроса тип устройства NetKeyboard. В этом случае механизм проверки учетных данных на стороне устройства срабатывает некорректно, позволяя атакующему получить полный доступ к интерфейсу управления устройством без знания валидного логина и пароля. Это дает возможность просматривать видеопоток, изменять настройки или использовать устройство как плацдарм для атаки на внутреннюю сеть.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление прошивки устройства до версии, в которой данная ошибка исправлена.

  1. Определите точную модель вашего устройства и текущую версию прошивки через веб-интерфейс (раздел Setup -> System -> Version) или утилиту ConfigTool.
  2. Перейдите на официальный сайт поддержки Dahua или локального дистрибьютора.
  3. Скачайте актуальный файл прошивки (выпущенный после сентября 2021 года).
  4. Установите обновление через веб-интерфейс:
  5. Перейдите в Setup -> System -> Upgrade.
  6. Выберите скачанный файл и нажмите Upgrade.
  7. После обновления рекомендуется выполнить сброс настроек до заводских (Factory Reset) и сменить пароли.

Для автоматизации поиска уязвимых устройств в сети можно использовать Nmap со скриптом:

nmap -p 80,37777 --script http-dahua-auth-bypass <target-ip>

Временные меры

Если немедленное обновление прошивки невозможно, необходимо принять следующие меры для минимизации риска:

  1. Изоляция сети: Выведите камеры из публичного доступа. Запретите проброс портов (Port Forwarding) на роутере для портов 80, 443, 554 и 37777.
  2. Использование VPN: Организуйте доступ к камерам только через защищенный VPN-туннель.
  3. Ограничение по IP: Настройте правила межсетевого экрана (ACL) так, чтобы доступ к портам управления камерой имели только доверенные IP-адреса (например, адрес сервера видеорегистратора или рабочей станции администратора).
  4. Отключение неиспользуемых протоколов: Отключите ONVIF и другие неиспользуемые сервисы в настройках сети.
  5. Смена портов по умолчанию: Измените стандартный порт управления (37777) на произвольный, чтобы снизить вероятность обнаружения устройства автоматизированными сканерами.

Блокировка доступа к порту управления на уровне Linux-шлюза (пример):

iptables -A FORWARD -p tcp --dport 37777 -j DROP
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей