Hisilicon: Vielzahl kritischer Lücken in Geräten mit Huawei-Encodern

Standardpasswort, Telnet-Zugang und weitere kritische Lücken finden sich in den Video-Geräten. Huawei sieht seine Kunden verantwortlich.

Artikel veröffentlicht am ,
Geräte wie diese von URayTech sollen verwundbar sein.
Geräte wie diese von URayTech sollen verwundbar sein. (Bild: URayTech)

Der Sicherheitsforscher Alexei Kojenov hat eine Vielzahl teils kritischer Sicherheitslücken in Video-Encodern gefunden. Die Lücken finden sich dem Bericht zufolge alle in Video-Over-IP-Geräten, die auf dem HI3520D-Chipset der Huawei-Tochter Hisilicon basieren und Videodaten in H.264 oder H.265 kodieren, um diese als Netzwerkstreams bereitzustellen. Huawei dementiert, selbst für die Lücken verantwortlich zu sein, und verweist auf seine Kunden beziehungsweise Zulieferer.

Laut Kojenov, der die Geräte unter anderem per Reverese Engineering untersucht hat, verfügt ein Teil der Software über ein nicht dokumentiertes Standardpasswort zur Administration, was der Sicherheitsforscher als Backdoor bezeichnet (CVE-2020-24215). Per Telnet ist auf einigen der untersuchten Geräte mit diesem Passwort außerdem ein Root-Zugriff auf das Linux-System möglich (CVE-2020-24218).

In dem Bericht werden darüber hinaus weitere kritische Lücken aufgezählt, die beispielsweise nicht authentifizierte Dateiuploads ermöglichen, das Ausführen von Code oder auch ein nicht authentifiziertes Ableiten des Videostreams per RTSP. Zwar lassen sich die Angriffe mit diesen Lücken theoretisch vergleichsweise einfach durch eine Firewall oder ähnliche Netzwerkregeln verhindern, laut Kojenov habe er jedoch mehrere Hundert verwundbare Geräte im Internet gefunden.

Die Auswirkung der Lücken sollte dementsprechend klein ausfallen und sollten sich eigentlich auch vergleichsweise schnell schließen lassen. Auch sind Standardpasswörter leider keine Seltenheit bei IoT-Geräten. Huawei weist jedoch darauf hin, dass sich die beschriebenen Lücken so nicht in dem von dem Hersteller zu dem Chip angebotenen SDK finden. Diese müssten demnach vielmehr von Kunden beziehungsweise Zulieferern stammen, so Huawei.

Die komplizierte Lieferkette von Geräten des Internet-of-Things macht das Nachvollziehen der Herkunft der Lücken hier aber eher schwierig. Gleiches gilt natürlich für das Verteilen von Patches. So habe Kojenov auch Probleme gehabt, mit Hilfe des Cert die betroffenen Hersteller zu erreichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Tor Browser, Zerologon
Sonst noch was?
artikel-bild
Honor Magicbook Pro im Test
Viel richtig gemacht für 900 Euro
artikel-bild
Handelskrieg
USA wollen größte chinesische Foundry lahmlegen
Meistgelesen
artikel-bild
JPEG XL
Die Browserhersteller sagen nein zum Bildformat
artikel-bild
Bluebrixx Klingon Bird-of-Prey 104584
Worf wäre stolz auf dieses Star-Trek-Set
artikel-bild
Madison Square Garden
Gesichtserkennungs-Software weist unliebsame Besucher ab
Kommentarübersicht
Headline angepasst
sg (Golem.de) 21. Sep 2020

Wir haben die Headline am Wochenende angepasst und diese macht nun deutlich, dass es sich...

Re: Huawai hat sogar recht
gunterkoenigsmann 21. Sep 2020

Mich nervt diese Einstellung: Erstens sind wir nur ein Reseller. Also keinesfalls für...

Und passt ihr die Überschrift noch an?
Diabolarius 19. Sep 2020

Kommt schon, disqualifizierend genug, dass auf golem so eine Überschrift bei dem...

Golem: Vielzahl kritischer Lücken auf Golem
946ben 19. Sep 2020

Ich hab letztens mal in einem Kommentar auf einen Link geklickt. Von dort wurde ich auf...

Aktuell auf der Startseite von Golem.de
Suchmaschine
Bing mit ChatGPT war für kurze Zeit online

Microsoft will ChatGPT in die Suchmaschine Bing einbauen. Was uns erwartet, konnten einige Nutzer kurzfristig sehen.

Suchmaschine: Bing mit ChatGPT war für kurze Zeit online
Artikel
  1. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  2. Madison Square Garden: Gesichtserkennungs-Software weist unliebsame Besucher ab
    Madison Square Garden
    Gesichtserkennungs-Software weist unliebsame Besucher ab

    Im New Yorker Madison Square Garden kommt seit Jahren Gesichtserkennungs-Software zum Einsatz - mit unangenehmen Folgen für Kanzleimitarbeiter.

  3. Nach Prämiensenkung: Weniger Marktanteil für Elektroautos 2023 erwartet
    Nach Prämiensenkung
    Weniger Marktanteil für Elektroautos 2023 erwartet

    Die Förderprämien für Elektroautos wurden gesenkt, was nach Ansicht der Autohersteller zu einem Rückgang des Marktanteils führen wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Roccat Magma + Burst Pro 59€ • Roccat Vulcan 121 89,99€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate: Toshiba MG10 20 TB 299€ • Alternate Weekend Sale • MindStar: Fastro MS200 SSD 2TB 95€ • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • RAM-Tiefstpreise • PCGH Cyber Week [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /