কয়েক হাজার ক্যামেরা একটি সমালোচনামূলক, 11 মাস বয়সী CVE প্যাচ করতে ব্যর্থ হয়েছে, যা হাজার হাজার প্রতিষ্ঠানকে উন্মুক্ত করে দিয়েছে।
নতুন গবেষণা ইঙ্গিত দেয় যে আজ বিশ্বের 80,000 টিরও বেশি Hikvision নজরদারি ক্যামেরা 11 মাস পুরানো কমান্ড ইনজেকশন ত্রুটির জন্য ঝুঁকিপূর্ণ।
Hikvision - Hangzhou Hikvision ডিজিটাল প্রযুক্তির জন্য সংক্ষিপ্ত - একটি চীনা রাষ্ট্রীয় মালিকানাধীন ভিডিও নজরদারি সরঞ্জাম প্রস্তুতকারক। তাদের গ্রাহকরা 100 টিরও বেশি দেশে বিস্তৃত (যুক্তরাষ্ট্র সহ, 2019 সালে FCC হিকভিশনকে "মার্কিন জাতীয় নিরাপত্তার জন্য একটি অগ্রহণযোগ্য ঝুঁকি" লেবেল করা সত্ত্বেও)।
গত পতনে, হিকভিশন ক্যামেরায় একটি কমান্ড ইনজেকশন ত্রুটি বিশ্বের কাছে প্রকাশিত হয়েছিল জন্য CVE-2021-36260. শোষণটিকে NIST দ্বারা 9.8 রেটিং-এর মধ্যে একটি "গুরুত্বপূর্ণ" 10 দেওয়া হয়েছে।
দুর্বলতার তীব্রতা সত্ত্বেও, এবং এই গল্পের প্রায় এক বছর, 80,000 টিরও বেশি প্রভাবিত ডিভাইসগুলি প্যাচ করা হয়নি। সেই সময় থেকে, গবেষকরা "কমান্ড ইনজেকশন দুর্বলতা ব্যবহার করে Hikvision ক্যামেরাগুলিকে কাজে লাগাতে সহযোগিতা করার জন্য হ্যাকারদের একাধিক দৃষ্টান্ত" আবিষ্কার করেছেন, বিশেষ করে রাশিয়ান ডার্ক ওয়েব ফোরামে, যেখানে ফাঁস হওয়া শংসাপত্রগুলি বিক্রয়ের জন্য রাখা হয়েছে৷
ক্ষয়ক্ষতির পরিমাণ ইতিমধ্যেই স্পষ্ট নয়। প্রতিবেদনের লেখকরা কেবল অনুমান করতে পারেন যে "চীনা হুমকি গোষ্ঠী যেমন MISSION2025/APT41, APT10 এবং এর সহযোগীরা, সেইসাথে অজানা রাশিয়ান হুমকি অভিনেতা গোষ্ঠীগুলি তাদের উদ্দেশ্যগুলি পূরণ করার জন্য এই ডিভাইসগুলির দুর্বলতাগুলিকে সম্ভাব্যভাবে কাজে লাগাতে পারে (যার মধ্যে নির্দিষ্ট ভূ-প্রকৃতি অন্তর্ভুক্ত থাকতে পারে) রাজনৈতিক বিবেচনা)।
আইওটি ডিভাইসে ঝুঁকি
এই ধরনের গল্পগুলির সাথে, ব্যক্তি এবং সংস্থাগুলির অলসতাকে দায়ী করা সহজ যেগুলি তাদের সফ্টওয়্যারটি আনপ্যাচ করে রাখে৷ কিন্তু গল্প সবসময় এত সহজ নয়।
সাইব্রেরির থ্রেট ইন্টেলিজেন্সের সিনিয়র ডিরেক্টর ডেভিড মেনরের মতে, হিকভিশন ক্যামেরা অনেক কারণে এবং কিছু সময়ের জন্য দুর্বল হয়ে পড়েছে। “তাদের পণ্যে সিস্টেমিক দুর্বলতা বা আরও খারাপ শোষণ করা সহজ, ডিফল্ট শংসাপত্র ব্যবহার করে। ফরেনসিক সঞ্চালন বা একটি আক্রমণকারী excised করা হয়েছে যে যাচাই করার কোন ভাল উপায় নেই. উপরন্তু, আমরা তাদের উন্নয়ন চক্রের মধ্যে নিরাপত্তা বৃদ্ধির ইঙ্গিত দিতে Hikvision এর ভঙ্গিতে কোনো পরিবর্তন লক্ষ্য করিনি।"
অনেক সমস্যা শুধু হিকভিশন নয়, শিল্পের জন্য স্থানীয়। "ক্যামেরার মতো আইওটি ডিভাইসগুলি সবসময় আপনার ফোনে একটি অ্যাপের মতো সুরক্ষিত করা সহজ বা সরল নয়," Comparitech-এর গোপনীয়তা আইনজীবী পল বিশফ ইমেলের মাধ্যমে একটি বিবৃতিতে লিখেছেন৷ “আপডেট স্বয়ংক্রিয় নয়; ব্যবহারকারীদের ম্যানুয়ালি সেগুলি ডাউনলোড এবং ইনস্টল করতে হবে এবং অনেক ব্যবহারকারী কখনই বার্তা পাবেন না। উপরন্তু, IoT ডিভাইস ব্যবহারকারীদের কোনো ইঙ্গিত দিতে পারে না যে তারা অনিরাপদ বা পুরানো। যেখানে আপনার ফোন আপনাকে সতর্ক করবে যখন কোনো আপডেট পাওয়া যাবে এবং পরের বার রিবুট করার সময় সম্ভবত এটি স্বয়ংক্রিয়ভাবে ইনস্টল হবে, IoT ডিভাইসগুলি এই ধরনের সুবিধা দেয় না।"
যদিও ব্যবহারকারীরা কেউই বুদ্ধিমান নয়, সাইবার অপরাধীরা শোডান বা সেন্সিসের মতো সার্চ ইঞ্জিনের মাধ্যমে তাদের দুর্বল ডিভাইসগুলি স্ক্যান করতে পারে। সমস্যাটি অবশ্যই অলসতার সাথে জটিল হতে পারে, যেমনটি বিশফ উল্লেখ করেছেন, "হিকভিশন ক্যামেরাগুলি বাক্সের বাইরে কয়েকটি পূর্বনির্ধারিত পাসওয়ার্ডগুলির মধ্যে একটি নিয়ে আসে এবং অনেক ব্যবহারকারী এই ডিফল্ট পাসওয়ার্ডগুলি পরিবর্তন করেন না।"
দুর্বল নিরাপত্তা, অপর্যাপ্ত দৃশ্যমানতা এবং তদারকির মধ্যে, এই কয়েক হাজার ক্যামেরা কখন বা কখন সুরক্ষিত হবে তা স্পষ্ট নয়।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- উত্স: https://threatpost.com/cybercriminals-are-selling-access-to-chinese-surveillance-cameras/180478/
- 000
- 10
- 100
- 11
- 2019
- 9
- a
- প্রবেশ
- আইন
- উকিল
- অনুমোদনকারী
- সতর্ক
- ইতিমধ্যে
- সর্বদা
- এবং
- অ্যাপ্লিকেশন
- লেখক
- স্বয়ংক্রিয়
- স্বয়ংক্রিয়ভাবে
- সহজলভ্য
- বক্স
- ক্যামেরা
- অবশ্যই
- পরিবর্তন
- চীনা
- সহযোগিতা করা
- আসা
- বিবেচ্য বিষয়
- ধারণ
- পারা
- দেশ
- পরিচয়পত্র
- সংকটপূর্ণ
- গ্রাহকদের
- cve
- cybercriminals
- সাইবার নিরাপত্তা
- অন্ধকার
- ডার্ক ওয়েব
- তারিখ
- ডেভিড
- ডিফল্ট
- সত্ত্বেও
- উন্নয়ন
- ডিভাইস
- ডিজিটাল
- ডিজিটাল প্রযুক্তি
- Director
- আবিষ্কৃত
- Dont
- ডাউনলোড
- ইমেইল
- ইঞ্জিন
- উপকরণ
- কখনো
- কাজে লাগান
- উদ্ভাসিত
- ব্যর্থ
- পতন
- এফসিসি
- কয়েক
- ত্রুটি
- ফরেনসিক
- ফোরাম
- মেটান
- তদ্ব্যতীত
- পাওয়া
- দাও
- প্রদত্ত
- ভাল
- গ্রুপের
- হ্যাকার
- হংজ়ৌ
- HTTPS দ্বারা
- উন্নতি
- in
- অন্তর্ভুক্ত করা
- সুদ্ধ
- বৃদ্ধি
- ইঙ্গিত
- ইঙ্গিত
- ব্যক্তি
- শিল্প
- ইনস্টল
- বুদ্ধিমত্তা
- IOT
- iot ডিভাইস
- IT
- লেবেল
- ত্যাগ
- ছোড়
- সম্ভবত
- খুঁজছি
- অনেক
- ম্যানুয়ালি
- উত্পাদক
- অনেক
- বার্তা
- হতে পারে
- জাতীয়
- প্রায়
- প্রয়োজন
- পরবর্তী
- nst
- সুপরিচিত
- অর্পণ
- ONE
- সংগঠন
- ভুল
- ওভারভিউ
- পাসওয়ার্ড
- তালি
- পল
- পিডিএফ
- সম্পাদন করা
- ফোন
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- সম্ভাব্য
- গোপনীয়তা
- সমস্যা
- পণ্য
- করা
- নির্ধারণ
- কারণে
- থাকা
- রিপোর্ট
- গবেষকরা
- প্রকাশিত
- ঝুঁকি
- রাশিয়ান
- বিক্রয়
- স্ক্যান
- সার্চ
- সার্চ ইঞ্জিন
- নিরাপদ
- সুরক্ষিত
- নিরাপত্তা
- বিক্রি
- জ্যেষ্ঠ
- সংক্ষিপ্ত
- সংকেত
- সহজ
- থেকে
- So
- সফটওয়্যার
- নির্দিষ্ট
- বিশেষভাবে
- রাষ্ট্রীয় মালিকানাধীন
- বিবৃতি
- যুক্তরাষ্ট্র
- খবর
- গল্প
- অকপট
- এমন
- নজরদারি
- পদ্ধতিগত
- প্রযুক্তিঃ
- সার্জারির
- বিশ্ব
- তাদের
- হাজার হাজার
- হুমকি
- সময়
- থেকে
- আজ
- আমাদের
- অবিভক্ত
- মার্কিন যুক্তরাষ্ট
- অসুরক্ষিত
- আপডেট
- ব্যবহারকারী
- যাচাই
- মাধ্যমে
- ভিডিও
- দৃষ্টিপাত
- দুর্বলতা
- দুর্বলতা
- জেয়
- ওয়েব
- যে
- যখন
- ইচ্ছা
- মধ্যে
- বিশ্ব
- বছর
- আপনি
- আপনার
- zephyrnet