Dahua Broken Access Control Vulnerability
Just 4 months after Dahua admitted 2 critical vulnerabilities, Dahua is quietly admitting a new high (8.1) vulnerability. The researchers found ~277,000 of these vulnerable devices online.
In this report, IPVM examines the vulnerability, first documented by Romain Koszyk of the French cybersecurity and privacy company Digitemis, including:
- How the vulnerability works
- Models Impacted
- Dahua Cybersecurity History
- Dahua USA No Disclosure
- Dahua Cybersecurity Guidance
- Feedback from Dahua
- How to resolve this
How ** *****
***** ******* *** ******* ***** ******* for *** ****** ** ** *******, without **************, ***** **** ****** ** attacker ** ***** *** ***** ******** using *****'* ******** ************ ***** ******** process.
*********, *** ****** ************* ******* **** documented *** *************, *** ********** **-**** ******** ******** *********** *** vulnerability.
** ******* ****, *** ******** ****** sets * *** ***** ******* (**********.**********):
**** *** ********'* ***** *** ** the ******'* ******* *****, *** ******** may ******** *** ****** ***** ** code ***/** *** **** ** ******** and **** ** ** ***** ** be ***** (************* ********* ** ****** ~5 *******, ********* ** *** **********).
******** ***** *********:
******** ***** ******** **** ********:
Most ****** ********
** ******** **** **** ************* ****** the ******** ** *****'* ********, ********* most *****, ***, *** ******* ****** models, *********, *** ****, ***** ** the **** ********** ****** ***** ******** ** *** security ******. ***** ** ** **** ** North ******** **** ******* *********, **** Dahua's **** **** ******* (*.*. ***-*****). There ** *** * *****-********* *********, and ***** ******** ***** ****** ****** their ****** *** ********.
********* **** "**** **** ******* **** than *** *** ******* ******* ** the ********." ** ********, ****** ********* lists * ***** ** ***,***+ ***** devices ** *** ********.
Dahua *** ******
**** *** * ***-******* ******** ****** in *** *** ***** *** ********** firmware, *** *****'* **********:
*** **** ******** * ** **** reset ******, ***** *****:
** *** *** ********* *** ******* and ***** ***** *** ******* ***** it ********* *** *******.
Port ********** ***********
*****'* ************* **** ********* **** *** a ******* *** ************* *** *********** which ***** ********** ** **** ******* NVRs.
**** ********** ******* *** **** **** this ************* *** ** *********.
Dahua: **** ************* ******
***** *************** *******:
- ***** ******** *************** ****
- ***** ******** ***** ***************
- ***** *********** *************
- ***** *** ******** ************* ****
- ***** ******** ********* ****
**** ************* ** **** *** **** recent ******* ** * **** **** of ******** *************** **** ***** ********* which *** *** ** *** *** China **** ***** ***** ** ****-****** manufacturer *** ****** ****** ** *** *** **************.
Feedback **** *****
*****'* ******** ** **** ** *****:
*** ******** *** ********* ** *** customers’ ******* *** ******* *** *** highest ******** *** *****. *** ************* that **** ** ********* ** ** this **** *** ****** *** ** a ******** ***** **** ** ******** in *********, *** ******** ******* ******* are *** ** ****.
**** ***** ** ****** *** ********* we *****:
- ** ***** ***** ** ******* * notice ** *** ** ****?***** *** *** ******* ** *** cybersecurity ****** **** *** ****.
- **** ***** ** * ***** ****** announcement ** **** *********? *.*. ***** release ** ****** ***** *****. ** yes, ****** ******* ***** *** ** will ******* **** ** *** ********.
- **** ********* *****'* ******* ***************, ********* two ******** *************** **** ****, ***** vulnerabilities ** ****, * ** ****, the ******** ** ****, ***. ** years **** ***** **** **** ***** was *********. **** ***** **** *** comment ** *** ***** ***** *************** continue *********?
Patched ******** *********
***** *** ******** ******* ******** *** devices ******** ** **** *************. *** affected *** ************* ******* ******** *** listed****, ** *****'* ******** ********. ******* ******** ** ******* **** vulnerability *** ** ***** *******'* ************ ***** **** ** *** **.
*** ** **** ****** ** ***** one-time *********? ** ****** **** ***** is * ******** ** *** ******
*** ******* * ** ************ ******* about ** *** ***** ***** **** the ******* ***** ******* ** *** device **. **** ******* **** **** of ************* ******* **** ****** *** Dahua ** / ***** ** **** how ***** ***** ** **** ** verify **** *** ******* ***** ******* is. ****** **** ******** ** *********** on ****?
***** *** **** ****** ******* * "product **********" ****** **** *** **** to ** ******* ****** *** *** use *** ******. **** ** **** I ******* ** ********* **** ***** address *** ********* ******** ***** ******** questions. ** **** *** **** **** password, *** ***** * **** *** it ****** *** * ***** ****. If *** ***'* **** ****** ** the *****, **** *** *** ***** management ******** ** *** ******* ** generate * ******* *** ***** ** from *****, ** **** *** ** code.
**** **** ** *** ** **** data ***** *** (*** ********) ** possible, ** *** ********** ****** ****** them ** ******* ****, *******, *****, phone, ***....
*** **** ************* **** *** ****** on *** ****** ******* ***********, ** the ********** ***** **** ** *** change *** ******* ***** **** ** already ****** ****** *** **** **** show ******** ***** ********* *** ********. This ******** ******* ***** ** ******** updating *** ***** / ******* *** time *** ******* ***** ******* ** changed, ***/**?
** *** ******** ** ** ******* never ********* **, ***** *** **** still ****? ** ** ******* ********* it *** **** ** *** ************ from *** ******** ** * **********, could **** ***** *** * ****?
*** ****, ** ****** **** **** have ************** **** *** *** *** a ***** **** ******. ***** * good ****.
*** *** *** ********* ******** ***** upon **********, *** * ***** ******* of ***** ******* *********** ***-** * password ***** ****** **** ******** ********* (which *** *********) *** ** ***** address( **** ** *** *********) *****. We've ********* ******** ******* ***** ** input * ***** ****** *** *** security ********* ***** ***** ** ****** info *** ** *** ******* ** the ******** ********* **********, *** **** just ***** *** ***** ******* *****, and **** *** ** ********. ** haven't *** ** *** *** ******** reset, ******* ** ******** *******, ** just ******* ******* *** **-** *** set-up.
* *** ** **** ** ****** off *** *** ** ** ****, but * ***** ** ** ********.
*** ** **** ******** ** ********* string **** ******** *** ********** ***** address, ****** ******, *** ***. *** that *********** ** **** ** ***** when *** **** *** ** **** using *** ****** *** ** **** you ***** *** ****** ** **** (as *** *********** *** ** **** exploit). ** ******'* **** ** **** the ****** ***** **** *** ******** any ** **** ** *******.
**** *** ******** ** ******* ** click ***** ******** *** *** **** message ********** **** ****'** ********** **:
****, *** ***** ******** ** **** sent ** *** ********** *******, *** the ******** ******. ** ** * send ***** **** ****** *** **** NVR, *** **** ***** ******* ** registered, ** **** **** *** ***** code ** ***, *** **. ** Digitemis' ********, *** ****** *** *** reset ***** *** *** ****, ** this ***'* *****.
*** ***** ****** **** ** *****'* phone **** ** ******** ** ******* resetting * ****** ******* ** ********* to *** ********, *********** ** *******, then ********* *** ******** *** *****.
*** ** **** ******** ** ********* string **** ******** *** ********** ***** address, ****** ******, *** ***. *** that *********** ** **** ** ***** when *** **** *** ** **** using *** ****** *** ** **** you ***** *** ****** ** **** (as *** *********** *** ** **** exploit). ** ******'* **** ** **** the ****** ***** **** *** ******** any ** **** ** *******.
**** ******... ****** ***. ** **** really *** ** *****?
***** **** *** ********** *** **** from? ** ** ** *** ********? Is ** *** **** ** *** devices? ** *** **** *** ********** key **** *** ******, *** *** effectively **** ****** ***** ******** *** any ****** **** *** **** *** MAC ******* *** ****** ****** **?
***** **** *** ********** *** **** from? ** ** ** *** ********? Is ** *** **** ** *** devices? ** *** **** *** ********** key **** *** ******, *** *** effectively **** ****** ***** ******** *** any ****** **** *** **** *** MAC ******* *** ****** ****** **?
* ***'* **** ***** ******* ** these ********* **** ***% *********, *** I ***** ***** * ***** **** if ******* *** ******* *****'* ******** reset ********* ** ***** ** *** over *** ******** ** ***.
*** *********** ******** ** ** * minimum, *** ********** ***** ***** *******, the ***, *** *** ****** ******, but ***** ***** ** ***** *********** encoded *****, ****. **** ***** ******** resets **** ** *** **** *** date ** ****** *** ********** ***, also.
***** **** *** ********** *** **** from?
*** ****** ***
** ** ** *** ********?
***
** ** *** **** ** *** devices?
**
****: *** *** **
*** *** ******* *** ***** **** Firmware, *** ** ******* *** ********* devices.
* ***** ***** ** * ****** for *** *** ********* ****** ****** with "**************", ***** **** ** **** points ** *** ******* ***.
** ** *** ****** *** (******** to *** ******* ******) ******** * message ** *** ****** *** ****'* what's **** ** *****? *** ** earth **** **** ********* ************? *'* still *** ******* **. ** *** serial ****** ******? ** *** ****** key ** ** *** ********, ****'* not ****** (****** *** ***'* ******** to ********* ****** ********, ******). ***** if *'* ****** **** *********.
******** ********* **** ****** *** *** only ** ********* **** ******* ***. Private *** *** *** ** *** FW, **** *** **** *****.
*** *** ************, */* ***** **** specific *******, **'* **** **** ***** wrote *****.
*******, *** ***** **** *** *** back **** *** ****** ****** ** used ** ******* ******, ** *** details *** **** ******** *** **** device ****. **** *** *******, */*.
** ** ******** ** ********* *** RSA *** **** **** ***, ** you *** ******* *** *******?
**, **'* */* **********. ***, ** you ***** **** *** **********/********** ** FW *** ******* ******* *** **** flash **** ****** ** ** *** device.
*******, * ****** ***'* *** **** point ****, *** **** **** ** see **** ****** *** *** ********* content ** ****?
****, *'* ******* **** **** ***** is *********.
*** ******** ** ** ******** ******* has ******* ******. *** ******** **, can *** ******** ***** ** ****** to *** **** *** ****** ******?
*** **** ********* **** ** * shared ****** ******* *** ****** *** Dahua. * **** **** ** *** broader ******* - ********* **** ***** and *** ****** **** **** *** attacker **** ***. ** ***** ** no ******, **'* **** * ****** of ********* *** ***** ******* *** the ******** **** (** ** *****, I ***'* **** ****** *******). **** create * ***** ******* **** * burner ***** *******, ******* ** **** the ****** ***, **** ** ** Dahua *** ****'** *** *** **.
******* ** *** ******** *** ** part ** *** ******. ****** *** cryptography *****'* **** **** - *** that ***** ** ****** **** *** read *** *******. ******* ************ ***** is ***** - *** **** *** device ** *** ******.
* *** *** *** *** ******* if *'* ** *** *******. **** can't ** *** ******.
****** ************* ******. * ***'* **** **** information *** ******* ******, *** * lot ** ******* **** **** ******. In ** *******, ****** ****** ** more ** ********* ** ********, *** proof. **** *** ********, *** *** the ********.
*** **** *** * *** ***** of *** ***** ** ** **** is ** **** * ********* **** in *** ******. **** **** ********** *** **** ******** *****. *** code ** *** ** *** ****** in *** ******* *** ****** ***** with *** ****** ****** ** * giant ******** *********.
****** *****'* * **** ** ***** authenticity ** *** ****** ****** ** used (*** **** *** **** **** unauthenticated ***), **** ** ****** ***** like *****'* * *** *** ** attacker ** *** **.
*** **** *** * *** ***** of *** ***** ** ** **** is ** **** * ********* **** in *** ******.
**'* **** ******* **** *** *****, the *** *** */* *** **** one ***** ***** ** *** ****, there ** **** ***** ****** ****'* more ******* ** **** ******* **** cannot ** ***** ******* ** *** device ******. ** **** *** **** have * ********* ** *** (** something) *** *** ******** ** *** code.
* ***** *** *** *** *** "Cybersecurity ********" **** * *** ** another ****** **** ** ****, *** is *** ****** ** **** ** reveal ********** ******** ******* **** * know ** **** *******.
**, **, *'* *** **** ***. I'm *** ***** ***. **** * sysadmin *** * ***** **********. * don't **** ****** ** * ***** device, ********* * ***** **** **** trying ** ****** ***** ********* ******. The ******** ***** ******* ******* ****** sketchy ** **, *** * ***** it's **** ****. ** ******** ******* was ***** **** ******* * ******* I ***** ** ** ** *********, but **** ***** ***** ** ********* I ****'* ****** (***** *** ******* out). ****** *** ****** *** **** to *******.
* ***'* **** ****** ** * Dahua ******
*** *** ** ****** **** ******** / ********* ** *************, ** *** facilitate ****** ** * **** ****** of ******* **** ******* *************. **** email ** - ****@****.***
** *****, ** ******** ** ***** (and ***** *** ****** *** **** another **** ******)
**** * **** ***.
*** ******** ***** ********* ***** *******.
* *** ** ** ******* **** only *** *** *** * ****** connected ** * ****** ******* ** uplink ** ***** *****:
* ******* ********* *** ***, ********** the **, *** ******* * ********. I ******* ** ***** ** *** contact *** *** ******, ***** **** a ********* ***** ****** * ***** it. * ********* *** ****** ******** procedure **** ******* *** ** **** and **** *** ******** ****** ** Dahua *** *****. * ******** ** email **** * **** **** ** about * ****** *** *** **** to *** * *** ******** *** then *** **.
**** ****! **** ** **** *** QR ****, ** ** **** ********* what *** ******* ******* ***** ** and **** ** ********* ** **** is **** **** ** *****?
*******, *** ***** ** **** ** the *** ********* *******.
****** ****** ******** ***** ***, **** issue **** **** **** *** ** that ** **/*** ******** ** ****** the ***** ******* */* **************.
* *** ******* *** *************, *** some ***** ********* *** ** ****** w/o *** ******** ** ***** **, have *** ***** ******* */ *** FW *** *** ******* *******.
**** **** ******* ** *** **********.
**** **** ******* ** *** **********.
***, ** **** ****,**** ********* ******** **** ******* ********** **** ***** it *** **** *** ******* *** timing ** ***** *******:
***** ********** **** *** ***** ***** team, ** ****** *** **** ******************** **** **** ********** **** *************.
***********, ****** ** **** ****** ** keep ** "** **" ** ****** didn't ****/********.
***. ***** **** *** ******** ***** mechanisms. *** ** **** ****** ** using ***-**** *********? ** ****** **** there ** * ******** ** *** system. ** **** *** **** ** these.
*** ** ***** * ************'* *** easier **** ** ***** ** ****** the ******** *** *** *****'* **** the ********, *** **** ** ********* a ******** **** *** ******.