Kiberbűnözők hozzáférést árulnak kínai megfigyelő kamerákhoz

Új kutatás azt jelzi, hogy ma a világon több mint 80,000 11 Hikvision térfigyelő kamera van kitéve egy XNUMX hónapos parancsbefecskendezési hibának.

A Hikvision – a Hangzhou Hikvision Digital Technology rövidítése – egy kínai állami tulajdonú videó megfigyelő berendezések gyártója. Ügyfeleik több mint 100 országot érintenek (beleértve az Egyesült Államokat is, annak ellenére, hogy az FCC 2019-ben a Hikvisiont „elfogadhatatlan kockázatot jelent az Egyesült Államok nemzetbiztonságára nézve”).

Tavaly ősszel a Hikvision kamerák parancsbefecskendezési hibája derült ki a világ elé CVE-2021 36260-. A kizsákmányolást a NIST „kritikus” 9.8/10 ponttal értékelte.

A sérülékenység súlyossága ellenére, és közel egy éve a történetnek, több mint 80,000 XNUMX érintett eszközt nem javítottak ki. Az azóta eltelt idő alatt a kutatók „több olyan esetet fedeztek fel hackereknek, akik együttműködni akartak a Hikvision kamerák kiaknázásával a parancsinjekciós sebezhetőség segítségével”, különösen orosz sötét webes fórumokon, ahol kiszivárgott hitelesítő adatokat árultak.

Az okozott kár mértéke egyelőre nem tisztázott. A jelentés készítői csak arra tippelhettek, hogy „a kínai fenyegető csoportok, mint például a MISSION2025/APT41, APT10 és leányvállalatai, valamint az ismeretlen orosz fenyegetettségi cselekvőcsoportok potenciálisan kihasználhatják ezen eszközök sebezhetőségét, hogy megvalósítsák indítékaikat (amelyek konkrét földrajzi helyekre is kiterjedhetnek). politikai megfontolások).

Az IoT-eszközök kockázata

Az ehhez hasonló történetekkel könnyű lustaságot tulajdonítani azoknak az egyéneknek és szervezeteknek, akik javítatlanul hagyják szoftverüket. De a történet nem mindig ilyen egyszerű.

David Maynor, a Cybrary fenyegetések hírszerzési osztályának vezető igazgatója szerint a Hikvision kamerák több okból is sebezhetőek voltak, és egy ideig. „Termékük könnyen kihasználható rendszerszintű sebezhetőséget tartalmaz, vagy ami még rosszabb, alapértelmezett hitelesítő adatokat használ. Nincs jó módszer a kriminalisztika elvégzésére vagy annak ellenőrzésére, hogy a támadót kivágták-e. Ezenkívül nem észleltünk olyan változást a Hikvision testtartásában, amely a biztonság növekedését jelezné a fejlesztési cikluson belül.”

A probléma nagy része az iparágban is megtalálható, nem csak a Hikvisionban. „Az IoT-eszközöket, például a kamerákat nem mindig lehet olyan egyszerűen vagy egyszerűen megvédeni, mint egy alkalmazást a telefonon” – írta e-mailben Paul Bischoff, a Comparitech adatvédelmi szószólója. „A frissítések nem automatikusak; a felhasználóknak manuálisan kell letölteniük és telepíteniük őket, és sok felhasználó soha nem kapja meg az üzenetet. Ezenkívül előfordulhat, hogy az IoT-eszközök nem adnak jelet a felhasználóknak arról, hogy nem biztonságosak vagy elavultak. Míg a telefon figyelmezteti Önt, ha frissítés áll rendelkezésre, és valószínűleg automatikusan telepíti azt a következő újraindításkor, az IoT-eszközök nem kínálnak ilyen kényelmet.”

Bár a felhasználók semmivel sem bölcsebbek, a kiberbűnözők olyan keresőmotorokkal kereshetik a sebezhető eszközeiket, mint a Shodan vagy a Censys. A probléma minden bizonnyal a lustasággal tehető, ahogy Bischoff megjegyezte, „az a tény, hogy a Hikvision kamerák néhány előre meghatározott jelszó egyikével érkeznek a dobozból, és sok felhasználó nem változtatja meg ezeket az alapértelmezett jelszavakat”.

A gyenge biztonság, az elégtelen láthatóság és a felügyelet között nem világos, hogy ezt a több tízezer kamerát mikor, vagy egyáltalán sikerül-e biztonságba helyezni.