Puluhan ribu kamera gagal menambal CVE kritis berusia 11 bulan, membuat ribuan organisasi terpapar.
New penelitian menunjukkan bahwa lebih dari 80,000 kamera pengintai Hikvision di dunia saat ini rentan terhadap cacat injeksi perintah berusia 11 bulan.
Hikvision – kependekan dari Hangzhou Hikvision Digital Technology – adalah produsen peralatan pengawasan video milik negara China. Pelanggan mereka menjangkau lebih dari 100 negara (termasuk Amerika Serikat, meskipun FCC melabeli Hikvision sebagai "risiko yang tidak dapat diterima bagi keamanan nasional AS" pada tahun 2019).
Musim Gugur yang lalu, cacat injeksi perintah di kamera Hikvision terungkap ke dunia sebagai CVE-2021-36260. Eksploitasi itu diberi peringkat "kritis" 9.8 dari 10 oleh NIST.
Terlepas dari parahnya kerentanan, dan hampir satu tahun dalam cerita ini, lebih dari 80,000 perangkat yang terpengaruh tetap belum ditambal. Sejak saat itu, para peneliti telah menemukan “beberapa contoh peretas yang ingin berkolaborasi dalam mengeksploitasi kamera Hikvision menggunakan kerentanan injeksi perintah,” khususnya di forum web gelap Rusia, di mana kredensial bocor telah disiapkan untuk dijual.
Tingkat kerusakan yang dilakukan sudah tidak jelas. Penulis laporan hanya bisa berspekulasi bahwa “kelompok ancaman China seperti MISSION2025/APT41, APT10 dan afiliasinya, serta kelompok aktor ancaman Rusia yang tidak diketahui berpotensi mengeksploitasi kerentanan pada perangkat ini untuk memenuhi motif mereka (yang mungkin termasuk geo- pertimbangan politik).
Risiko di Perangkat IoT
Dengan cerita seperti ini, mudah untuk menganggap kemalasan individu dan organisasi yang membiarkan perangkat lunak mereka tidak ditambal. Tapi ceritanya tidak selalu sesederhana itu.
Menurut David Maynor, direktur senior intelijen ancaman di Cybrary, kamera Hikvision rentan karena berbagai alasan, dan untuk sementara waktu. “Produk mereka mengandung kerentanan sistemik yang mudah dieksploitasi atau lebih buruk lagi, menggunakan kredensial default. Tidak ada cara yang baik untuk melakukan forensik atau memverifikasi bahwa penyerang telah dipotong. Selain itu, kami belum mengamati perubahan apa pun dalam postur Hikvision yang menandakan peningkatan keamanan dalam siklus pengembangan mereka.”
Banyak masalah yang mewabah ke industri, bukan hanya Hikvision. “Perangkat IoT seperti kamera tidak selalu semudah atau semudah mengamankan aplikasi di ponsel Anda,” Paul Bischoff, advokat privasi Comparitech, menulis dalam sebuah pernyataan melalui email. “Pembaruan tidak otomatis; pengguna perlu mengunduh dan menginstalnya secara manual, dan banyak pengguna mungkin tidak pernah menerima pesan tersebut. Selain itu, perangkat IoT mungkin tidak memberikan indikasi apa pun kepada pengguna bahwa mereka tidak aman atau ketinggalan zaman. Sedangkan ponsel Anda akan mengingatkan Anda ketika pembaruan tersedia dan kemungkinan menginstalnya secara otomatis saat Anda reboot, perangkat IoT tidak menawarkan kemudahan seperti itu.”
Meskipun pengguna tidak lebih bijaksana, penjahat dunia maya dapat memindai perangkat mereka yang rentan dengan mesin pencari seperti Shodan atau Censys. Masalahnya tentu saja dapat diperparah dengan kemalasan, seperti yang dikatakan Bischoff, “dengan fakta bahwa kamera Hikvision dilengkapi dengan salah satu dari beberapa kata sandi yang telah ditentukan sebelumnya, dan banyak pengguna tidak mengubah kata sandi default ini.”
Antara keamanan yang lemah, visibilitas dan pengawasan yang tidak memadai, tidak jelas kapan atau apakah puluhan ribu kamera ini akan diamankan.
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- idiot
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- pribadi
- Pos Ancaman
- VPN
- Kerentanan
- website security
- zephyrnet.dll
