TIN HOT TRONG NGÀY
Diễn đàn Công nghệ & Đời sống
» »
Phát hiện lỗ hổng nghiêm trọng trên một loạt camera giám sát Dahua

Phát hiện lỗ hổng nghiêm trọng trên một loạt camera giám sát Dahua

Theo báo cáo từ Bitdefender, lỗ hổng trên camera giám sát Dahua có thể cho phép kẻ tấn công chiếm quyền kiểm soát các thiết bị này nếu không được khắc phục. Những lỗ hổng này ảnh hưởng đến giao thức ONVIF và trình xử lý tải tệp của thiết bị, cho phép kẻ tấn công thực hiện các lệnh tùy ý từ xa.

phat hien lo hong nghiem trong tren mot loat camera giam sat dahua hinh anh 1
Người dùng đang sử dụng camera giám sát Dahua cần cập nhật thiết bị gấp.

Hai lỗ hổng bảo mật được theo dõi là CVE-2025-31700 và CVE-2025-31701, với điểm CVSS (hệ thống chấm điểm lỗ hổng phổ biến) là 8,1. Chúng ảnh hưởng đến các dòng thiết bị IPC-1XXX, IPC-2XXX, IPC-WX, IPC-ECXX, SD3A, SD2A, SD3D, SDT2A và SD2C, chạy phiên bản firmware được phát hành trước ngày 16/4/2025. Người dùng có thể kiểm tra thời gian của phiên bản firmware bằng cách đăng nhập vào giao diện web của thiết bị và truy cập vào Cài đặt > Thông tin hệ thống > Phiên bản.

Cả hai lỗ hổng này đều được phân loại là “lỗi tràn bộ đệm”, có thể bị khai thác thông qua việc gửi các gói tin độc hại dẫn đến tấn công từ chối dịch vụ (DoS) hoặc thực thi mã từ xa (RCE). Cụ thể, CVE-2025-31700 liên quan đến lỗi tràn bộ đệm trong trình xử lý yêu cầu của giao diện video mạng mở (ONVIF), trong khi CVE-2025-31701 liên quan đến lỗi tràn trong trình xử lý tải tệp RPC.

Dahua cho biết một số camera giám sát có thể đã triển khai các cơ chế bảo vệ như ngẫu nhiên hóa bố cục không gian địa chỉ (ASLR) giúp giảm khả năng tấn công RCE thành công. Tuy nhiên, các cuộc tấn công DoS vẫn là một mối lo ngại lớn.

Với việc các camera Dahua thường được sử dụng để giám sát video tại các cửa hàng bán lẻ, sòng bạc, nhà kho và khu dân cư, những lỗ hổng này có thể gây ra hậu quả nghiêm trọng. Đặc biệt, các thiết bị tiếp xúc với internet thông qua chuyển tiếp cổng hoặc UPnP có nguy cơ cao hơn. Nếu khai thác thành công, kẻ tấn công có thể truy cập vào camera mà không cần sự tương tác của người dùng, bỏ qua các bước kiểm tra tính toàn vẹn của firmware và tải lên các payload chưa được ký khiến việc khắc phục trở nên khó khăn.

Được biết, Dahua hiện là nhà cung cấp camera giám sát lớn thứ hai trên thế giới, chỉ sau Hikvision. Vì vậy, việc lỗ hổng xuất hiện chắc chắn là một lời cảnh báo cho người dùng thương hiệu này.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống

Nguồn tin:

 

Tham gia bình luận

Tin cùng chuyên mục Xem tất cả