Les encodeurs vidéo de plusieurs fournisseurs contiennent plusieurs bugs de sécurité critiques qui peuvent permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur l'équipement, et le géant chinois Huawei dit qu’il n'est pas à blâmer.

Alexei Kojenov, ingénieur principal en sécurité des produits chez Salesforce, a décrit une série de failles affectant les encodeurs vidéo IPTV / H.264 / H.265 alimentés par le chipset hi3520d de la filiale HiSilicon de Huawei. On trouve les failles de sécurité dans les logiciels, dont le développeur est inconnu, fonctionnant sur une pile Linux fournie par HiSilicon pour les produits utilisant son système sur puces.

Selon Kojenov, l’ensemble des failles sont exploitables à distance et peuvent conduire à l’exploitation d’informations sensibles, au déni de service et à l’exécution de code à distance, entrainant une prise de contrôle complète de l’appareil.

Les bugs critiques incluent une interface administrative avec un mot de passe de porte dérobée (CVE-2020-24215), accès root via telnet (CVE-2020-24218), et le téléchargement de fichiers non authentifiés (CVE-2020-24217) permettant l’exécution de code malveillant ainsi que l’injection de commandes.

L’ensemble de ces éléments peuvent être exploités sur le réseau ou sur Internet pour le détournement d’équipements vulnérables. L’ingénieur a également signalé des failles de gravité moyenne et élevée, un débordement de tampon (CVE-2020-24214) empêchant le fonctionnement correct, et un procédé pour avoir accès au flux vidéo RTSP sans autorisation (CVE-2020-24216).

Huawei a insisté sur le fait que les failles n’ont pas été introduites par ses puces HiSilicon ni par le code SDK fournit aux fabricants utilisant ses composants. Ceci signifie qu’un logiciel d’application criblé de trous aurait été fourni aux fabricants de ces dispositifs d’encodage vidéo.