Jak zabezpieczyć kamery i rejestratory Dahua
Dwa błędy w kamerach Dahua umożliwiają zdalne ataki bez uwierzytelniania — dowiedz się, które modele są zagrożone i jak się chronić.
Najnowsze raporty pokazują, że podatności CVE‑2025‑31700 i CVE‑2025‑31701 w kamerach Dahua umożliwiają atak zdalny — nawet bez logowania.
Producent wypuścił aktualizacje, ale wiele urządzeń nadal nie zostało zabezpieczonych.
Ten tekst pomoże Ci sprawdzić swój sprzęt i wdrożyć niezbędne środki zaradcze.
Co wiemy o podatnościach CVE-2025-31700 i CVE-2025-31701
Mechanizm działania – buffer overflow
Obie podatności polegają na przepełnieniu bufora podczas przetwarzania niepoprawnych lub specjalnie spreparowanych pakietów. Atakujący może wysłać do urządzenia pakiet, który spowoduje nadpisanie pamięci i pozwoli na uruchomienie dowolnego kodu. W praktyce oznacza to możliwość przejęcia pełnej kontroli nad kamerą lub rejestratorem – od wyłączenia podglądu po kradzież strumienia wideo.
Gdzie atak może zostać wykorzystany (ONVIF, porty sieciowe, Internet vs LAN)
Wykorzystanie luk możliwe jest przez interfejsy sieciowe. Szczególnie narażone są urządzenia z włączonym protokołem ONVIF, a także te, których porty (HTTP, RTSP czy serwisy administracyjne) są dostępne z Internetu. W sieci lokalnej zagrożenie nadal istnieje, ale wymaga obecności atakującego wewnątrz LAN. Największe ryzyko dotyczy więc urządzeń wystawionych publicznie, np. poprzez przekierowanie portów na routerze.
Które modele Dahua są zagrożone
Jak sprawdzić wersję firmware i model urządzenia
Nie wszystkie modele Dahua są podatne, lecz wiele z popularnych serii korzysta z tego samego rdzenia oprogramowania. Aby sprawdzić, czy Twoje urządzenie jest zagrożone, należy odczytać jego model i wersję firmware. Informacje te znajdują się w panelu administracyjnym w zakładce „Informacje o systemie”. W przypadku większych instalacji wygodnym narzędziem jest aplikacja Dahua ConfigTool, która automatycznie wykrywa urządzenia w sieci i wyświetla ich szczegóły. Po uzyskaniu danych należy porównać wersję firmware z listą opublikowaną przez Dahua w biuletynie bezpieczeństwa – jeśli numer jest starszy niż wersja poprawiona, aktualizacja jest niezbędna.
Aktualizacja firmware – pierwszy krok do bezpieczeństwa
Dlaczego aktualizacje są krytyczne
Aktualizacje firmware usuwają podatności wykryte w urządzeniach i zwiększają stabilność działania. Bez nich nawet dobrze skonfigurowane kamery i rejestratory Dahua mogą być podatne na atak.
Jak sprawdzić wersję firmware w kamerze i rejestratorze
W menu administracyjnym znajduje się sekcja „Informacje o systemie”, gdzie widoczna jest wersja firmware. W większych instalacjach można używać narzędzia Dahua ConfigTool, które automatycznie wykrywa wersje wszystkich urządzeń.
Skąd pobierać poprawki i jak je instalować
Poprawki należy pobierać z oficjalnej strony Dahua lub od autoryzowanego dystrybutora. Instalacja odbywa się przez interfejs WWW albo ConfigTool. Po aktualizacji warto sprawdzić ustawienia, ponieważ część opcji może wrócić do wartości domyślnych.
Zarządzanie kontami i hasłami użytkowników
Eliminacja domyślnych loginów i haseł
Domyślne hasła są powszechnie znane i stanowią najprostszy wektor ataku. Dlatego należy je jak najszybciej usunąć lub zmienić.
Tworzenie unikalnych, mocnych haseł (min. 12 znaków, wielkie/małe litery, cyfry, symbole)
Hasła muszą być długie, zróżnicowane i trudne do odgadnięcia. Dobrym rozwiązaniem jest korzystanie z menedżera haseł i okresowa zmiana.
Zasada „minimum uprawnień” – osobne konta dla administratora i użytkowników
Administratorzy powinni mieć własne konta, a użytkownicy dostęp ograniczony tylko do funkcji, których rzeczywiście potrzebują.
Segmentacja i zabezpieczenie sieci CCTV
Oddzielenie kamer od sieci biurowej (VLAN)
Dedykowany VLAN dla kamer izoluje system CCTV od reszty infrastruktury, co utrudnia rozprzestrzenianie się ataku.
Blokada dostępu z Internetu do paneli logowania
Logowanie do panelu administracyjnego nie powinno być możliwe bezpośrednio z sieci publicznej. Dostęp należy ograniczyć regułami firewall.
Dostęp tylko przez VPN lub zabezpieczony tunel
VPN zapewnia szyfrowane połączenie i dodatkową warstwę ochrony. To bezpieczny sposób zdalnego dostępu do urządzeń Dahua.
Konfiguracja rejestratorów Dahua
Wyłączenie nieużywanych protokołów (np. UPnP, P2P, Telnet)
Każdy zbędny protokół to potencjalne zagrożenie. Należy wyłączyć wszystkie nieużywane usługi.
Ograniczenie dostępu tylko do zaufanych adresów IP
Lista dozwolonych adresów IP minimalizuje ryzyko nieautoryzowanego dostępu do rejestratora.
Monitorowanie logów i alertów systemowych
Regularne sprawdzanie logów pomaga szybko wykrywać próby włamania i inne podejrzane aktywności.
Szyfrowanie i certyfikaty bezpieczeństwa
Włączenie HTTPS w kamerach i NVR
HTTPS szyfruje komunikację, chroniąc dane logowania i panel administracyjny przed podsłuchem.
Użycie certyfikatów SSL/TLS
Wgrywanie własnych certyfikatów zwiększa bezpieczeństwo. Należy je regularnie odnawiać, aby uniknąć korzystania z nieaktualnych kluczy.
Konfiguracja szyfrowania strumieni wideo (RTSP over TLS)
Szyfrowanie strumieni wideo uniemożliwia ich przechwycenie w sieci. RTSP over TLS to standard, który zapewnia poufność transmisji.
Monitorowanie i audyt bezpieczeństwa
Regularne testy podatności (np. skanery sieciowe)
Narzędzia takie jak Nessus czy OpenVAS pozwalają sprawdzić, czy system ma otwarte luki bezpieczeństwa.
Harmonogram przeglądów systemu CCTV
Raz na kwartał należy weryfikować konfigurację, aktualizacje i stan zabezpieczeń, aby system pozostawał odporny na ataki.
Dokumentacja polityk bezpieczeństwa
Sformalizowane zasady dostępu, haseł i aktualizacji ułatwiają zarządzanie systemem oraz audyt w przypadku incydentu.
Zgodność z regulacjami i NDAA
Dlaczego zgodność z NDAA jest istotna w projektach publicznych
W wielu przetargach wymagane są urządzenia zgodne z NDAA. Brak zgodności może wykluczyć firmę z realizacji projektów instytucjonalnych.
Jak wybierać urządzenia spełniające wymogi (listy zgodności)
Przed zakupem należy sprawdzić, czy model widnieje na liście NDAA compliant. Instalatorzy i sklepy powinni dokumentować zgodność sprzętu, co zwiększa wiarygodność w oczach klientów.