• IT-Karriere:
  • Services:

Hisilicon: Vielzahl kritischer Lücken in Geräten mit Huawei-Encodern

Standardpasswort, Telnet-Zugang und weitere kritische Lücken finden sich in den Video-Geräten. Huawei sieht seine Kunden verantwortlich.

Artikel veröffentlicht am ,
Geräte wie diese von URayTech sollen verwundbar sein.
Geräte wie diese von URayTech sollen verwundbar sein. (Bild: URayTech)

Der Sicherheitsforscher Alexei Kojenov hat eine Vielzahl teils kritischer Sicherheitslücken in Video-Encodern gefunden. Die Lücken finden sich dem Bericht zufolge alle in Video-Over-IP-Geräten, die auf dem HI3520D-Chipset der Huawei-Tochter Hisilicon basieren und Videodaten in H.264 oder H.265 kodieren, um diese als Netzwerkstreams bereitzustellen. Huawei dementiert, selbst für die Lücken verantwortlich zu sein, und verweist auf seine Kunden beziehungsweise Zulieferer.

Stellenmarkt
  1. SAPHIR Software GmbH, Leverkusen
  2. Hannover Rück SE, Hannover

Laut Kojenov, der die Geräte unter anderem per Reverese Engineering untersucht hat, verfügt ein Teil der Software über ein nicht dokumentiertes Standardpasswort zur Administration, was der Sicherheitsforscher als Backdoor bezeichnet (CVE-2020-24215). Per Telnet ist auf einigen der untersuchten Geräte mit diesem Passwort außerdem ein Root-Zugriff auf das Linux-System möglich (CVE-2020-24218).

In dem Bericht werden darüber hinaus weitere kritische Lücken aufgezählt, die beispielsweise nicht authentifizierte Dateiuploads ermöglichen, das Ausführen von Code oder auch ein nicht authentifiziertes Ableiten des Videostreams per RTSP. Zwar lassen sich die Angriffe mit diesen Lücken theoretisch vergleichsweise einfach durch eine Firewall oder ähnliche Netzwerkregeln verhindern, laut Kojenov habe er jedoch mehrere Hundert verwundbare Geräte im Internet gefunden.

Die Auswirkung der Lücken sollte dementsprechend klein ausfallen und sollten sich eigentlich auch vergleichsweise schnell schließen lassen. Auch sind Standardpasswörter leider keine Seltenheit bei IoT-Geräten. Huawei weist jedoch darauf hin, dass sich die beschriebenen Lücken so nicht in dem von dem Hersteller zu dem Chip angebotenen SDK finden. Diese müssten demnach vielmehr von Kunden beziehungsweise Zulieferern stammen, so Huawei.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
Weitere IT-Trainings

Die komplizierte Lieferkette von Geräten des Internet-of-Things macht das Nachvollziehen der Herkunft der Lücken hier aber eher schwierig. Gleiches gilt natürlich für das Verteilen von Patches. So habe Kojenov auch Probleme gehabt, mit Hilfe des Cert die betroffenen Hersteller zu erreichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 189,90€ (Vergleichspreis 230,16€)
  2. 111€ (Vergleichspreis 198,17€)
  3. 34,99€ inkl. Versand (Vergleichspreis 55€)
  4. 29,74€ (Vergleichspreis 43,85€)

sg (Golem.de) 21. Sep 2020

Wir haben die Headline am Wochenende angepasst und diese macht nun deutlich, dass es sich...

gunterkoenigsmann 21. Sep 2020

Mich nervt diese Einstellung: Erstens sind wir nur ein Reseller. Also keinesfalls für...

Diabolarius 19. Sep 2020

Kommt schon, disqualifizierend genug, dass auf golem so eine Überschrift bei dem...

946ben 19. Sep 2020

Ich hab letztens mal in einem Kommentar auf einen Link geklickt. Von dort wurde ich auf...

Der Agent 19. Sep 2020

Wenn man einen offenen Telnet Port findet sollte man ganz prinzipiell mal hinterfragen ob...


Folgen Sie uns
       


Mini-PCs von Asus, Apple und Zotac im Test - Fazit

Wir haben uns den Mac Mini und zwei Alternativen von Asus und Zotac angesehen. Es ist interessant, wie leistungsfähig die Kontrahenten sind.

Mini-PCs von Asus, Apple und Zotac im Test - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /