Titusindvis af kameraer har undladt at lappe en kritisk, 11 måneder gammel CVE, hvilket efterlader tusindvis af organisationer afsløret.
Ny forskning indikerer, at over 80,000 Hikvision overvågningskameraer i verden i dag er sårbare over for en 11 måneder gammel kommandoindsprøjtningsfejl.
Hikvision – forkortelse for Hangzhou Hikvision Digital Technology – er en kinesisk statsejet producent af videoovervågningsudstyr. Deres kunder spænder over 100 lande (inklusive USA, på trods af at FCC mærkede Hikvision "en uacceptabel risiko for USA's nationale sikkerhed" i 2019).
Sidste efterår blev en kommandoindsprøjtningsfejl i Hikvision-kameraer afsløret for verden som CVE-2021-36260. Udnyttelsen fik en "kritisk" 9.8 ud af 10 rating af NIST.
På trods af alvorligheden af sårbarheden, og næsten et år inde i denne historie, forbliver over 80,000 berørte enheder ikke-patchede. I tiden siden har forskerne opdaget "flere tilfælde af hackere, der ønsker at samarbejde om at udnytte Hikvision-kameraer ved hjælp af kommandoindsprøjtningssårbarheden," specifikt i russiske mørke web-fora, hvor lækkede legitimationsoplysninger er blevet sat til salg.
Omfanget af skaden er allerede uklart. Forfatterne af rapporten kunne kun spekulere i, at "kinesiske trusselsgrupper såsom MISSION2025/APT41, APT10 og dets tilknyttede selskaber samt ukendte russiske trusselsaktørgrupper potentielt kunne udnytte sårbarheder i disse enheder til at opfylde deres motiver (som kan omfatte specifikke geo- politiske overvejelser).
Risikoen ved IoT-enheder
Med historier som denne er det nemt at tilskrive dovenskab til enkeltpersoner og organisationer, der lader deres software ikke lappe. Men historien er ikke altid så enkel.
Ifølge David Maynor, seniordirektør for trusselsefterretning hos Cybrary, har Hikvision-kameraer været sårbare af mange årsager og i et stykke tid. "Deres produkt indeholder systemiske sårbarheder, der er nemme at udnytte, eller endnu værre, bruger standardoplysninger. Der er ingen god måde at udføre efterforskning eller verificere, at en angriber er blevet udskåret. Desuden har vi ikke observeret nogen ændring i Hikvisions holdning for at signalere en stigning i sikkerheden inden for deres udviklingscyklus."
Meget af problemet er endemisk for industrien, ikke kun Hikvision. "IoT-enheder som kameraer er ikke altid lige så nemme eller ligetil at sikre som en app på din telefon," skrev Paul Bischoff, privatlivsadvokat hos Comparitech, i en erklæring via e-mail. “Opdateringer er ikke automatiske; brugere skal manuelt downloade og installere dem, og mange brugere får måske aldrig beskeden. Desuden giver IoT-enheder muligvis ikke brugere nogen indikation af, at de er usikrede eller forældede. Mens din telefon vil advare dig, når en opdatering er tilgængelig og sandsynligvis installere den automatisk, næste gang du genstarter, tilbyder IoT-enheder ikke sådanne bekvemmeligheder."
Selvom brugerne ikke er desto klogere, kan cyberkriminelle scanne efter deres sårbare enheder med søgemaskiner som Shodan eller Censys. Problemet kan helt sikkert forværres med dovenskab, som Bischoff bemærkede, "af det faktum, at Hikvision-kameraer kommer med et af nogle få forudbestemte adgangskoder ud af æsken, og mange brugere ændrer ikke disse standardadgangskoder."
Mellem svag sikkerhed, utilstrækkelig synlighed og overvågning er det uklart, hvornår eller om disse titusindvis af kameraer nogensinde vil blive sikret.
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- tingenes internet
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Beskyttelse af personlige oplysninger
- Threat Post
- VPN
- Sårbarheder
- website sikkerhed
- zephyrnet
