Auch viele OEMs wie ABUS oder TRENDnet können betroffen sein

100+ Millionen Hikvision Kameras haben hochkritische Sicherheitslücke

Über 100 Millionen Überwachungskameras des chinesischen Herstellers HIKvision sowie über 90 OEM Marken, haben eine sehr kritische Sicherheitslücke.
Bitte beachte: Dieser Beitrag ist mehr als 3 Jahre alt. Manche Links, Preise, Produkte und Aussagen sind vielleicht nicht mehr aktuell!

Auch ich habe mehrere Kameras von Hikvision im Einsatz, zudem werkeln bei mir auch die OEM-Versionen von TRENDnet und ABUS. Nun wurde bekannt, dass über 100 Millionen dieser Überwachungskameras eine hochkritische Sicherheitslücke haben, die nicht nur den kompletten Fernzugriff erlaubt, sondern auch die Ausführung von Schadcode in der Kamera.

Sicherheitslücke in Hikvision Überwachungskameras
HIKVision IP-Kameras für den Außenbereich (Modell DS-2CD2342WD)

Betroffen sind alle Kameras, die per Port-Forwarding aus dem Internet erreichbar sind – egal ob über HTTP (Port 80) oder HTTPS (Port 443). Mit einer speziell präparierten Adresse, können Angreifer die volle Kontrolle über die Kamera erlangen, ohne dass dazu ein einziger Klick oder Zugangsdaten nötig wären. Damit kann sogar eine Root-Shell geöffnet werden, welche die komplette Kontrolle über die Kamera eröffnet, in tiefere Systemeingriffe erlaubt, als man als eigentlicher Benutzer hat. Die Angriffe sind in der Kameraoberfläche oder im Log nicht feststellbar.

Dabei sind nicht nur die HIK Modellreihen DS-2CVxxx1, DS-2CVxxx5 und DS-2CVxxx6 betroffen, sondern wohl auch viele der über 90 OEM-Hersteller, darunter auch ABUS und TRENDnet. Wie der Bericht auf ipvm.com zu diesem Vorfall richtig sagt, versuchen viele OEMs zu verschleiern, dass es sich eigentlich um Hikvision Kameras handelt und daher bekommt man hier oft keine Hinweise auf die Sicherheitslücke und auch Sicherheits-Updates werden nur langsam oder gar nicht zur Verfügung gestellt.

Eine Liste der OEM-Hersteller von Hikvision Equipment findet hier Hikvision OEM Directory (ipvm.com).

Was kann man tun?

Melde dich zu meinem Newsletter an!

Du kannst dich jederzeit abmelden und ich verspreche: Kein Spam!

Zunächst ist es nie eine gute Idee, Geräte einfach per Port-Forwarding von außen zugänglich zu machen. Viele nutzen hier sogar den unsicheren Port 80, um sich SSL-Zertifikate und den damit verbundenen Aufwand zu sparen. Daher sollte man diese Geräte im Router sperren, sodass kein externer Zugriff mehr möglich ist. Benötigt man diesen doch, sollte man hier immer über ein VPN gehen, welches sich z. B. bei den AVM Fritzboxen sehr einfach einrichten lässt. Ich selbst nutze für meinen Remote-Zugriff Wireguard.

Außerdem hat Hikvision Sicherheitspatches in Form von Firmware-Updates bereitgestellt, die man schnellstens einspielen sollte. Die Firmware-Updates findet ihr hier: Firmware | Download | Hikvision

Es ist auch nicht die erste Sicherheitslücke bei Hikvision. Schon 2017 wurde ein Backdoor bekannt, das den Admin-Zugriff durch eine einfache Zeichenfolge erlaubte. Der neuerliche Vorfall könnte dazu führen, dass Hikvision Produkte in den USA zukünftig keine FCC-Zulassung mehr erhalten und damit nicht mehr in den Umlauf gebracht werden dürfen.

Aus den Sicherheitslücken ergibt sich auch ein Problem mit der DSGVO, denn damit ist es nicht ausgeschlossen, dass Unberechtigte Zugriff auf die Kamerabilder erhalten.

Hikvision selbst hat laut dem Bericht über eine Woche lang die Probleme unter den Tisch kehren wollen.

Quelle: Hikvision Has „Highest Level of Critical Vulnerability,“ Impacting 100+ Million Devices (ipvm.com)

Melde dich zu meinem Newsletter an!

Du kannst dich jederzeit abmelden und ich verspreche: Kein Spam!


Die mit Sternchen (*) gekennzeichneten Verweise sind sogenannte Provision-Links. Als Amazon-Partner verdiene ich an qualifizierten Verkäufen.Wenn du auf so einen Verweislink klickst und über diesen Link einkaufst, bekomme ich von deinem Einkauf eine Provision. Für dich verändert sich der Preis nicht und du unterstützt damit meine Arbeit. Preisänderungen und Irrtümer vorbehalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert