Especialistas en ciberseguridad reportan el hallazgo de dos vulnerabilidades críticas en las cámaras de vigilancia de la firma tecnológica Dahua Technology para las que ya hay un exploit de prueba de concepto (PoC) disponible. Identificadas como CVE-2021-33044 y CVE-2021-33045, las fallas pueden ser explotadas de forma remota para evadir los mecanismos de autenticación en los dispositivos afectados.
El anuncio llega apenas unas semanas después de que Dahua solicitara a sus clientes instalar la más reciente actualización de firmware, aunque debido a la poca cultura de ciberseguridad de miles de usuarios las actualizaciones siempre tardan en llegar. En otras palabras, la gran mayoría de los usuarios siguen ejecutando versiones vulnerables.
Sobre los modelos afectados, las fallas residen en la mayoría de los productos de Dahua, presentes en toda clase de entornos. Empleando Shodan, los investigadores detectaron más de 1.2 millones de dispositivos Dahua potencialmente vulnerables alrededor del mundo.
Es importante mencionar que, desde octubre de 2019, Dahua no puede vender sus productos en Estados Unidos, ya que es una de las compañías asiáticas vetadas por el Departamento de Comercio de E.U. No obstante, aún hay miles de dispositivos Dahua activos en este país, ya que fueron activados antes de la prohibición. Además, otros fabricantes como Honeywell usan hardware y software de Dahua.
Además de instalar las actualizaciones disponibles, los expertos en ciberseguridad recomiendan restablecer las contraseñas de los dispositivos vulnerables, preferentemente usando una clave de seguridad nueva y suficientemente segura. Habilitar el cifrado WPA2 en cámaras inalámbricas también es recomendable.
Las vulnerabilidades fueron detectadas este 13 de junio de 2021, por lo que algunas cámaras Dahua permanecieron vulnerables al acceso no autenticado durante casi tres meses, incluso para los propietarios que aplicaron la actualización del firmware tan pronto como estuvo disponible.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.