Více než 80 000 kamer Hikvision má kritickou zranitelnost

Bezpečnostní výzkumníci objevili více než 80 000 kamer Hikvision zranitelných kritickou chybou, která je snadno zneužitelná prostřednictvím speciálně vytvořených zpráv zaslaných na zranitelný webový server.

Chyba je sledována jako CVE-2021-36260 a společnost Hikvision ji odstranila prostřednictvím aktualizace firmwaru v září 2021. Podle whitepaperu zveřejněného společností CYFIRMA však desítky tisíc systémů používaných 2 300 organizacemi ve 100 zemích tuto bezpečnostní aktualizaci stále neaplikovaly.

Pro CVE-2021-36260 jsou známy dva veřejné exploity, jeden byl zveřejněn v říjnu 2021 a druhý v únoru 2022, takže aktéři hrozeb všech úrovní dovedností mohou zranitelné kamery vyhledávat a zneužívat. V prosinci 2021 využil konkrétní exploit botnet založený na technologii Mirai s názvem Moobot k agresivnímu šíření a zapojení systémů do rojů DDoS (distribuované odepření služby). V lednu 2022 CISA upozornila, že CVE-2021-36260 patří mezi aktivně zneužívané chyby v tehdy zveřejněném seznamu, a varovala organizace, že útočníci mohou „převzít kontrolu“ nad zařízeními a že mají chybu okamžitě opravit.

Zranitelné a zneužívané

Podle společnosti CYFIRMA se na ruskojazyčných hackerských fórech často prodávají vstupní body do sítě, které se spoléhají na zneužitelné kamery Hikvision, jež lze využít buď k botnettingu, nebo k bočnímu pohybu.

Z analyzovaného vzorku 285 000 webových serverů Hikvision směřujících do internetu zjistila firma zabývající se kybernetickou bezpečností, že zhruba 80 000 z nich je stále zranitelných vůči zneužití. Většina z nich se nachází v Číně a ve Spojených státech, zatímco ve Vietnamu, Velké Británii, na Ukrajině, v Thajsku, Jihoafrické republice, Francii, Nizozemsku a Rumunsku se nachází více než 2 000 zranitelných koncových bodů.

Ačkoli zneužití chyby v tuto chvíli nemá konkrétní vzorec, protože se na této aktivitě podílí více aktérů, CYFIRMA upozornila na případy čínských hackerských skupin APT41 a APT10 a ruských skupin specializujících se na kybernetickou špionáž. Jako příklad uvádí kybernetickou špionážní kampaň s názvem „think pocket“, která se od srpna 2021 zaměřuje na populární model používaný v řadě průmyslových odvětví po celém světě.

„Z hlediska analogie s řízením vnějších hrozeb (ETLM) by kyberzločinci ze zemí, které nemusí mít vřelé vztahy s jinými národy, mohli zranitelné kamerové produkty Hikvision využít k zahájení geopoliticky motivované kybernetické války,“ vysvětluje společnost CYFIRMA ve whitepaperu.

Problémem jsou i slabá hesla

Kromě zranitelnosti v podobě injektáže příkazů je zde také problém slabých hesel, která si uživatelé nastavují z pohodlnosti nebo která jsou standardně dodávána se zařízením a nejsou při prvním nastavení změněna.

Bleeping Computer si na hackerských fórech sítě Clearnet všiml několika nabídek seznamů, některých dokonce zdarma, obsahujících přihlašovací údaje pro živé videopřenosy z kamer Hikvision.

Pokud provozujete kameru Hikvision, měli byste jako prioritu stanovit instalaci nejnovější dostupné aktualizace firmwaru, používat silné heslo a izolovat síť IoT od kritických prostředků pomocí brány firewall nebo sítě VLAN.

Zdroj: Bleepingcomputer.com