CISA: федеральные агентства обязаны залатать дыры в камерах Dahua до 11 сентября
Критические уязвимости угрожают нацбезопасности США.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило предупреждение о двух критических уязвимостях, затрагивающих IP-камеры Dahua и связанные с ними продукты. Проблема была обнаружена еще в 2021 году. Однако, так как исследователи недавно доказали, что злоумышленники продолжают эксплуатировать эти баги, они были добавлены в каталог активных угроз.
Уязвимости, получившие идентификаторы CVE-2021-33045 и CVE-2021-33044, позволяют обмануть аутентификацию устройства. С их помощью хакеры могут создавать вредоносные пакеты данных для обхода процесса авторизации. Обе угрозы получили оценку 9.8 по шкале CVSS.
CISA предписало федеральным агентствам до 11 сентября 2024 года либо применить меры по устранению уязвимостей, следуя предписаниям разработчиков, либо прекратить использование продукта вовсе. Согласно информации на сайте производителя, обновление ПО уже доступно: его можно установить через облако, загрузить с официального сайта или обратиться к специалистам технической поддержки.
Dahua является крупным производителем камер видеонаблюдения на мировом рынке. Однако в ноябре 2022 года Федеральная комиссия по связи США ограничила импорт и продажу китайского телекоммуникационного оборудования и оборудования для видеонаблюдения, заявив, что продукция компаний Huawei, ZTE, Hytera, Hikvision и Dahua «представляет угрозу национальной безопасности».