Bitdefender Labs: Dahua-Überwachungskameras mit Sicherheitslücken

(Auszug aus der Pressemitteilung)

Überwachungskameras sind ein nicht zu unterschätzendes Element der Angriffsoberfläche einer IT-Umgebung. Einerseits eignen sie sich für den Aufbau von Botnetzen, andererseits sind sie ein mögliches Einfallstor für Hacker, die sich Zugriff auf die IT-Infrastruktur von Unternehmen erschließen wollen. So sind beispielsweise Kameras chinesischer Hersteller, die an kritischen Infrastrukturen wie Bahnhöfen eingesetzt sind, ein potenzielles Risiko. Nun haben die Experten von Bitdefender eine Sicherheitslücke der Überwachungskameras des chinesischen Herstellers Dahua – Dahua Hero C1 – offengelegt.

Die von den Bitdefender Labs identifizierten Sicherheitsschwachstellen in der Firmware der Smart Camera Dahua Hero C1 (DH-H4C) und anderer Geräte erlaubten nicht authentifizierten Angreifern, ihre Kommandos unkontrolliert per Fernzugriff auszuführen. Letzten Endes könnten sie die totale Kontrolle über ein Gerät übernehmen. Bitdefender hat Dahua darüber informiert und die Systeme werden vom Hersteller in diesem Moment aktualisiert. Anwender sollten überprüfen, ob ihre Kamera mit dem neuesten Update samt Patch versehen ist.

Vollständige Kontrolle der Kamera

Beide von Bitdefender beschriebenen Schwachstellen ermöglichen den nicht authentifizierten Zugriff der Hacker und lassen sich über das lokale Netzwerk ausnutzen. Vor allem Geräte mit Internetkonnektivität durch Port Forwarding oder UPnP sind besonders gefährdet. Nach einem erfolgreichen Exploit erhalten Angreifer einen Root-Level-Zugang zur Kamera, ohne dass eine weitere Interaktion notwendig ist. Eine Attacke umgeht dabei Checks zur Integrität der Firmware. Hacker können unsignierte Payloads hochladen oder über Custom-Deamon-Prozesse persistenten Zugang erhalten. So ist es schwieriger, die Gefahr wieder zu beseitigen.

Die erste Lücke, ein Stack-basierter Buffer Overflow im ONVIF Protocol Handler (CVE-2025-31700), erlaubt es Angreifern, eine willkürliche Nummer von Bytes in einen Stack zu schreiben. Der authentifizierte Stack-basierte Buffer Overflow überschreibt die Return-Adresse und verschiedene CPU-Register. Die zweite dokumentierte Schwachstelle im File-Upload-Handler erlaubt Angreifern, remote ihre Kommandos auszuführen und die Kamera vollständig zu kompromittieren.

Patchen und die Anbindung an das Internet vermeiden

Nutzer sollten Meldungen zu Updates der Hersteller von Überwachungskameras immer verfolgen und Patches unverzüglich anwenden. Jede Firmware-Version nach dem 16. April 2025 schließt die hier beschriebene Lücke.

Generell sollten Nutzer die Internetanbindung verwundbarer Dahua-Kameras sofort unterbrechen. Dazu deaktivieren sie UPnP und heben Regeln zum Port Forwarding auf. Administratoren sollten Kameras zudem in separaten VLANs oder dezidierten IoT-Netzwerken isolieren, um laterale Bewegung eindringender Hacker zu begrenzen.