Les cybercriminels vendent l'accès aux caméras de surveillance chinoises

Nouveauté un article indique que plus de 80,000 11 caméras de surveillance Hikvision dans le monde sont aujourd'hui vulnérables à une faille d'injection de commande vieille de XNUMX mois.

Hikvision - abréviation de Hangzhou Hikvision Digital Technology - est un fabricant chinois d'équipements de vidéosurveillance appartenant à l'État. Leurs clients couvrent plus de 100 pays (y compris les États-Unis, malgré le fait que la FCC ait qualifié Hikvision de « risque inacceptable pour la sécurité nationale des États-Unis » en 2019).

L'automne dernier, une faille d'injection de commande dans les caméras Hikvision a été révélée au monde comme CVE-2021-36260. L'exploit a reçu une note "critique" de 9.8 sur 10 par le NIST.

Malgré la gravité de la vulnérabilité, et près d'un an après le début de cette histoire, plus de 80,000 XNUMX appareils concernés restent non corrigés. Depuis lors, les chercheurs ont découvert "plusieurs cas de pirates cherchant à collaborer pour exploiter les caméras Hikvision en utilisant la vulnérabilité d'injection de commande", en particulier sur les forums russes du dark web, où des informations d'identification divulguées ont été mises en vente.

L'étendue des dégâts causés n'est déjà pas claire. Les auteurs du rapport ne pouvaient que spéculer sur le fait que « des groupes menaçants chinois tels que MISSION2025/APT41, APT10 et ses affiliés, ainsi que des groupes d'acteurs menaçants russes inconnus pourraient potentiellement exploiter les vulnérabilités de ces appareils pour répondre à leurs motivations (qui peuvent inclure des géolocalisations spécifiques). considérations politiques).

Le risque dans les appareils IoT

Avec des histoires comme celle-ci, il est facile d'attribuer la paresse aux individus et aux organisations qui laissent leurs logiciels non corrigés. Mais l'histoire n'est pas toujours aussi simple.

Selon David Maynor, directeur principal du renseignement sur les menaces chez Cybrary, les caméras Hikvision sont vulnérables pour de nombreuses raisons, et depuis un certain temps. « Leur produit contient des vulnérabilités systémiques faciles à exploiter ou pire, utilise des informations d'identification par défaut. Il n'existe aucun bon moyen d'effectuer des analyses médico-légales ou de vérifier qu'un attaquant a été excisé. De plus, nous n'avons observé aucun changement dans la posture de Hikvision pour signaler une augmentation de la sécurité dans leur cycle de développement.

Une grande partie du problème est endémique à l'industrie, pas seulement à Hikvision. "Les appareils IoT comme les caméras ne sont pas toujours aussi faciles ou simples à sécuriser qu'une application sur votre téléphone", a écrit Paul Bischoff, défenseur de la confidentialité chez Comparitech, dans un communiqué par e-mail. « Les mises à jour ne sont pas automatiques ; les utilisateurs doivent les télécharger et les installer manuellement, et de nombreux utilisateurs risquent de ne jamais recevoir le message. De plus, les appareils IoT peuvent ne donner aux utilisateurs aucune indication qu'ils ne sont pas sécurisés ou obsolètes. Alors que votre téléphone vous avertira lorsqu'une mise à jour est disponible et l'installera probablement automatiquement au prochain redémarrage, les appareils IoT n'offrent pas de telles commodités.

Bien que les utilisateurs ne soient pas plus avertis, les cybercriminels peuvent rechercher leurs appareils vulnérables avec des moteurs de recherche comme Shodan ou Censys. Le problème peut certainement être aggravé par la paresse, comme l'a noté Bischoff, "par le fait que les caméras Hikvision sont livrées avec l'un des quelques mots de passe prédéterminés prêts à l'emploi, et de nombreux utilisateurs ne changent pas ces mots de passe par défaut".

Entre sécurité faible, visibilité insuffisante et surveillance, on ne sait pas quand ou si ces dizaines de milliers de caméras seront un jour sécurisées.