CVE-2021-33045

Dahua IP Camera Firmware

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-08-21

Официальное описание

Dahua IP cameras and related products contain an authentication bypass vulnerability when the loopback device is specified by the client during authentication.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-33045 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в прошивках IP-камер и видеорегистраторов Dahua. Проблема заключается в некорректной проверке идентификатора устройства в процессе аутентификации.

Если злоумышленник при отправке запроса на авторизацию указывает, что он подключается через loopback-интерфейс (локальную петлю), механизм проверки подлинности ошибочно доверяет запросу. Это позволяет атакующему получить полный административный доступ к устройству без знания пароля, отправив специально сформированный пакет данных.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление прошивки устройства до версии, выпущенной после июня 2021 года.

  1. Определите текущую версию прошивки и модель устройства через веб-интерфейс или утилиту ConfigTool.
  2. Перейдите на официальный сайт поддержки Dahua или на портал загрузок вашего регионального представителя.
  3. Скачайте актуальный файл прошивки для вашей модели.
  4. Выполните обновление через веб-интерфейс:
  5. Перейдите в раздел Setting -> System -> Upgrade.
  6. Выберите скачанный файл и нажмите Upgrade.

Для массового обновления парка камер используйте утилиту Dahua ConfigTool:

ConfigTool.exe

После обновления убедитесь, что версия прошивки соответствует исправленной (Build date позже 2021-06-30).

Временные меры

Если немедленное обновление прошивки невозможно, необходимо минимизировать риски с помощью сетевого экранирования:

  1. Изолируйте устройства в отдельный VLAN, не имеющий прямого доступа из внешних сетей и интернета.
  2. Настройте правила Firewall (ACL), чтобы ограничить доступ к портам управления (по умолчанию TCP 80, 443, 37777) только с доверенных IP-адресов администраторов или серверов VMS.
  3. Отключите службу P2P в настройках камеры, чтобы предотвратить доступ к устройству через облачные сервисы Dahua.
  4. Используйте VPN для удаленного подключения к сети с камерами, исключая прямую публикацию портов (Port Forwarding) на роутере.

Пример команды для блокировки доступа к порту управления на Linux-шлюзе (iptables):

iptables -A FORWARD -p tcp --dport 37777 -j DROP
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей